网络安全基础——10.Web工作机制

最新推荐文章于 2022-03-01 20:52:49 发布
最新推荐文章于 2022-03-01 20:52:49 发布
阅读量320 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slismy/article/details/107616911
版权

网络安全基础——10.Web工作机制

我们学习渗透测试,主要是针对Web应用,所以要对Web架构有一定的了解。

访问Web过程

过程:
网址:
·本地缓存
·host
·IP/AIP
·DNS
·IP
·网关
·路由
·到达对方主机
·访问80 443
·三次握手
·建立连接
·HTTP数据包
·HTTP响应
1.html文件
2.php文件——MySQL——PHP运行结果——返回到客户端

网页、网站

我们可以通过浏览器上网看到的精美页面,一般都是经过浏览器渲染过的.html页面,其中包含了css等前端技术。多个网页的集合就是网站。

Web容器

Web容器,也叫Web服务器,主要提供Web服务,也就是常说的HTTP服务。常见的Web容器有: Apache/ IIS/Nginx(反向代理,负载均衡)等。

静态网页

静态的网页,都是一些 . html文件,是纯文本文件。这些文件中包含html代码。HTML (超文本标记语言), 在浏览器中解释运行。

中间件服务器

以上这种,只能单向地给用户展示信息。随着Web的发展,信息要双向流动,产生了交互的需求,也就是动态网页的概念;所谓动态就是利用flash、Phpasp、Java等技术在网页中嵌入一些可运行的脚本,用户浏览器在解释页面时,遇到脚本就启动运行它。

脚本的使用让Web服务模式有了“双向交流”的能力,Web服务模式也可以象传统软件一样进行各种事务处理,如编辑文件、利息计算、提交表单等,Web架构的适用面大大扩展。

这些脚本可以嵌入在页面中,如JS等。也可以以文件的形式单独存放在Web服务器的目录里,如.asp、.php、 jsp文件等。这样功能性的脚本越来越多,形成常用的工具包,单独管理,web业务开发时,直接使用就可以了,这就是中间件服务器,其实就是web功能的拓展。

Weblogic
Jboss

数据库的出现

静态网页与脚本都是事前设计好的,一般不经常改动,但网站上很多内容需要经常的更新,如新闻、博客文章、互动游戏等,这些变动的数据放在静态的程序中显然不适合,传统的办法是数据与程序分离,采用专业的数据库。Web开发者在Web服务器后边增加了一个数据库服务器,这些经常变化的数据存进数据库,可以随时更新。当用户请求页面时,脚本根据用户请求的页面,涉及到动态数据的地方,利用SQL数据库语言,从数据中读取最新的数据,生成“完整"页面,最后送给用户。

HTTP协议概述

1.HTTP(超文本传输协议)是浏览器与web服务器之间的通信协议,是传递消息的规范和要求。

2.HTTP是将html文档从web服务器传输到web浏览器

3.HTTP是一个请求与相应的协议,客户端发出请求,服务器端给出回应

4.HTTP使用可靠的TCP连接,默认端口是80 端口

5.灵活:HTTP运行传输任意类型的数据对象。
html、jpg、mp3

6.HTTP协议是无状态的协议。(无法断点续传)

URL(统一资源定位符)

统一资源定位符(网址)全球唯一,用来告诉web容器,浏览器所请求资源的路径。

schema://login:password@address:port/path/to/resource/?query_string#fragment

port 80
login 用户名
password 密码 匿名访问时,默认没有这两个内容

fragment 锚点 实现页面定位

URL编码

URL中出现的字符是有限制的,URL中path开始允许直接出现A-Z a-z 0-9 半角减号(-) 下划线据点(.)、波浪号(~)。其他字符均会被百分号编码。
如下
#对应%23
[ ]对应%20
···
原理 :%+ASCII 码16进制形式
在进行编程时我们会用加号代替空格。

报文分析工具:
1.F12
2.wireshark
3.fiddler
4.burp suite
···

HTTP报文分析

Web 应用的所有通信的消息都要遵守HTTP协议的规范和要求。
HTTP工作模式
REQUEST

HTTP请求由请求行、请求头、请求正文三个部分组成。

1.请求行:方法,资源路径,协议/版本
方法:GET
资源路径:/test/1.html
协议/版本:HTTP/1.1

2.请求头
从报文第二行开始到第一个空行为止之间的内容。其中包含很多字段。

3.请求正文
GET方法中没有请求正文,后面会看到。

请求方法

GET 是最常用的方法,通常用于请求服务器发送的某个资源。

POST 方法可以向服务器提交参数以及表单,包括文件流等。

HEAD 与GET 方法类似,但在服务器相应中只会返回首部。

PUT 与 GET 从服务器组曲文档相反,PUT 方法会向服务器写入文档。

TRACE 回显服务器的请求。

OPTIONS 方法请求Web服务器告知其支持的各种功能。

DELETE 方法请求服务器删除请求URL所指定的资源。

开启PUT TRACE DELETE 很危险。
PUT 会被上传后门

telnet 模拟浏览器发送HTTP请求

telnet www.baidu.com80
——————————
GET /HTTP/1.1
HOST: www.baidu.com
——————————

HOST主要用于指定被请求资源的Internet主机和端口号
User-Angent 浏览器指纹

Bell0ne_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP1.1(十三)浏览器为什么要有同源策略
wzj_110的博客
05-07 306
CSRF跨站请求伪造攻击。如何防止CSRF攻击。
Web架构笔记之Web工作机制
qq_44339430的博客
03-10 474
Web工作机制 ​ 网页就是我们可以通过浏览器上网看到的精美页面,一般都是经过浏览器渲染过的.html页面,HTML语言在浏览器中渲染。其中包含了CSS、JavaScript等前端技术。只要是通过浏览器访问的Web页面都是HTML页面。 ​ 网站多个网页的集合就是网站。 ​ Web服务器,也叫Web容器,主要是提供Web服务,也就是常说的httpd服务,常见的Web容器有:Apache、IIS、Nginx等。 静态的网页 ​ 静态的网页,都是一些.html文件,是纯文本文件。这些文件中包含html代码。
浏览器同源政策及其规避方法
aoquandao8917的博客
04-12 798
作者:阮一峰 摘自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 ...
HTTPS和HTTP2.0及同源策略
weixin_48554146的博客
02-05 2313
比较干。。。
WEB服务器工作机制由浅至深(3):【How Tomcat Works】7~9章翻译分析
03-24
NULL 博文链接:https://sulin.iteye.com/blog/1025115
企业级 Node 基础框架——EGG.pdf
08-21
《企业级 Node.js 基础框架 EGG》 EGG 是阿里巴巴集团为了解决...在涉及网络安全、芯片安全、工业网络、安全验证以及信息保护等关键领域,EGG 可以为开发者提供坚实的后盾,帮助他们构建更加安全、可靠的应用系统。
Web服务器加强IIS安全机制方法.doc
11-29
"Web 服务器加强 IIS 安全机制方法" IIS 作为当今流行的 Web 服务器之一,提供了强大的 Internet 和 Intranet 服务功能。为了确保 IIS 的安全性,需要加强其安全机制,建立高安全性能的可靠的 Web 服务器。以下是...
java 基础知识储备(csdn)————程序.pdf
12-01
- **安全性**:Java提供了严格的类型检查和安全管理,降低了恶意代码的风险。 - **健壮性**:强大的异常处理和垃圾回收机制提高了程序的稳定性和可靠性。 3. **Java的版本**: - **JavaSE**(Standard Edition)...
网络安全原理与应用:网络信息收集.pptx
05-16
网络信息收集 第4章 网络攻防技术 目标 Objectives 要求 ...目标系统的安全防护机制 网络信息收集 三、网络信息收集的技术 Web搜索与挖掘 DNS和IP查询 网络拓扑侦查 网络踩点 主机扫描 端口扫描 系统类
公共图书馆WiFi网络安全认证探索与实践——以福建省图书馆为例.pdf
09-20
WPA全称为“保护无线电脑网络安全系统”,有WPA和WPA2两个标准,是在WEP的基础上解决了其诸多缺点的一项新技术,是WEP的增强产品,WPA采用有效的密钥分发机制,不断地转换密钥,加强了对生成密钥的加密方式。...
web安全基础
11-03
文本时web安全基础教程,适用于初学者。
Web工作机制
干铮的博客
07-21 754
网页、网站 我们可以通过浏览器上网看到的精美页面,一般都是经过浏览器渲染过的.html页面,html语言在浏览器中渲染,其中包含了css等前端技术,多个网页的集合就是网站。 Web容器,也叫Web服务器,主要提供 ...
Web工作机制
qq_39322743的博客
01-13 2071
l  理解Web的概念 Web是WWW(World Wide Web)的简称,是一个大规模的、联机式的信息储藏所,使用链接的访问方式就可以非常方便地从Internet 的一个站点访问到另一个站点。 Web的定义 万维网是一个由许多超文本文档链接而形成的系统。系统中有用的事物被称为“资源”,通过URL来标识,并通过HTTP传送给用户。 Web的三个核心标准:URL  HTTP  HTML
web服务器工作原理
weixin_42579072的博客
01-10 1981
本文参考https://blog.csdn.net/qq_36359022/article/details/81666221 Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以向浏览器等Web客户端提供文档,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载。 一、web服务器与http服务器区别 Web服务器是指驻留于因特网上某种类型计算机的程序。当Web浏...
Web服务器工作原理详解(基础篇)
热门推荐
青城山小和尚
08-14 7万+
概述:Web服务器概念较为广泛,我们最常说的Web服务器指的是网站服务器,它是建立在Internet之上并且驻留在某种计算机上的程序。Web服务器可以向Web客户端(如浏览器)提供文档或其他服务,只要是遵循HTTP协议而设计的网络应用程序都可以是Web客户端。 Web服务器和HTTP服务器可以说是同一个东西,当然非得细分的话,HTTP服务器是建立在HTTP协议之上的提供文档浏览的服务器,更多的是...
HTTP CORS(HTTP-同源策略)
SeriousLose
12-30 2584
同源策略 同源策略是一种约定,是浏览器的核心基本安全功能, 如果缺少同源策略,浏览器的正常功能会受到影响,web的所有功能是构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现. 现在所有的浏览器都支持同源策略. 在前端开发工作中,经常会遇到同源策略问题,就是向服务器发送请求的时候,不在同一级域名或者不在相同端口或相同协议下. 域名 每一个网站都有自己的服务器,每个服务器都有一个IP地址,每个IP地址都会制定一个域名,域名有一级域名,二级域名,三级域名 http://a(三级域名).goo
web安全——基础知识(计算机网络part1)
学习记录
03-01 7868
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
wi-fi网络权威指南——802.11ac csdn
最新发布
06-06
802.11ac是Wi-Fi网络的最新协议,它比之前的802.11n协议速度更快,传输距离更远,同时支持更多的设备接入。在无线路由器和无线网卡等硬件产品中,802.11ac也被广泛支持,用户可以通过购置这些设备来享受802.11ac带来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值