web安全详解(渗透测试基础)

最新推荐文章于 2024-07-27 14:07:25 发布
最新推荐文章于 2024-07-27 14:07:25 发布
阅读量1.5k 收藏 15
点赞数 1
文章标签: web安全 安全 数据库 linux 程序员 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/133577320
版权

**

文章目录
  • 一、Web基础知识
    • 1.http协议
    • 2.网络三种架构及特点
    • 3. Web应用的特点
    • 4.URL组成
    • 6.Http协议的性质
    • 7.请求响应报文的格式
    • 8.请求方法
    • 9.http缓存
    • 10.缓存新鲜度如何判断
    • 11.Http重定向原理以及状态码
    • 12.HTTPS协议 数字证书
    • 13.HTTPS协议与HTTP协议的区别?
    • 14. Web客户端的作用
    • 15.Web服务端作用
    • 16.集群环境的作用
    • 17.什么是Cookie,Cookie的作用。
    • 18.Cookie 的类型
    • 19.session的作用和原理
      • Session的原理
      • Session的两种实现方式(也就是传递方式)
      • Session 与Cookie的区别
    • 20. Token的原理
    • 21.数据的编码方式
    • 22.Web测试的类型
    • 23.H5优点
    • 24. APP测试/Web测试/H5测试的区别
      • 相同之处
      • 不同之处
    • 25.移动端常用的三种开发模式
  • 二、探索式测试
  • 三、敏捷测试方法
    • 3.1 瀑布模型和敏捷模型比较
    • 3.2 Scrum框架包括3个角色、3个工件、5个事件、5个价值
    • 3.3 用户故事包含三个要素
    • 3.4 用户故事的特性
    • 3.5用户故事的优先级
    • 3.6 看板的作用
    • 3.7 什么是devops
    • 3.8 测试左移 和 测试右移
      • 测试左移
      • 测试右移
  • 四、web安全
    • 4.1 渗透测试主要做什么?
    • 4.2 渗透测试的流程
    • 4.3 信息收集的内容
    • 4.4 同源策略概念及意义
    • 4.5 浏览器沙箱
    • 4.6 恶意网址拦截机制
    • 4.7 XSS攻击的原理
    • 4.8 xss三种类型
    • 4.9 XSS漏洞防范
    • 4.10 什么是sql注入?
    • 4.11 sql注入的类型?
    • 4.12 盲注的类型?
    • 4.13 什么是文件包含漏洞?
    • 4.14 利用文件包含漏洞满足下面两个条件?
    • 4.15 文件包含漏洞预防
    • 4.16 文件上传检测的内容?
    • 4.17 防范文件上传漏洞常见方法?
    • 4.18 什么是点击劫持?
    • 4.19 CSRF原理?
    • 4.20 CSRF的防御?
    • 4.21 HTML5安全问题?
    • 4.22 session的攻击方式?
    • 4.23 单点登录
    • 4.24 基于角色的访问控制和基于数据的访问控制
    • 4.25 OAuth 2.0 原理
    • 4.26 四种授权方式
    • 4.23 单点登录
    • 4.24 基于角色的访问控制和基于数据的访问控制
    • 4.25 OAuth 2.0 原理
    • 4.26 四种授权方式

一、Web基础知识

1.http协议

​ 超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准,是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,简单点说就是一种固定的通讯规则。

2.网络三种架构及特点

网络应用程序架构包括三种:
客户机/服务器结构(C/S)
浏览器/服务器结构(B/S)
P2P结构

C/S架构

  1. 需要安装特定的客户端程序
  2. 针对不同平台开发不同版本
  3. 升级应用需重新安装
  4. 能够直接使用客户端硬件资源

B/S架构

  1. 客户端无需安装,有Web浏览器即可
  2. 跨平台能力
  3. 无缝升级,客户端免维护

P2P架构
点到点系统,不需要服务器中转,客户端与客户端彼此直接通信

3. Web应用的特点

  1. 应用是图形化和易于导航的,能够在页面显示色彩丰富的图形和文本。
  2. 应用与平台无关,可以使用任何平台通过internet访问。
  3. Web应用是分布式的,不同的信息可以放在不同的站点上。
  4. Web应用是动态的,web站点的信息包含站点本身的信息,信息的提供者也可以对网站的信息进行更新。

4.URL组成

Protocol:指定使用的传输协议
hostname:主机名
port:端口号
path:路径
parameters:参数

query:可选,用于给动态网页传递参数,可有多个参数,用“&”符号隔开,每个参数的名和值用“=”符号隔开。

fragment:信息片段,字符串,用于指定网络资源中的片断。

6.Http协议的性质

  1. HTTP是简单的
  2. HTTP是可扩展的
  3. HTTP是无状态,有会话的
  4. HTTP是可靠的

7.请求响应报文的格式

HTTP请求报文分为三部分

  1. 请求行 请求方法、URL、协议版本等(消息报头)
  2. 请求头 由一个头域名、冒号和值域组成
  3. 请求体

响应

  1. 响应行 协议和状态码 状态码分类
  2. 响应头
  3. 响应体

8.请求方法

GET POST OPTIONS HEAD PUT DELETE TRACE CONNECT

9.http缓存

缓存是一种保存资源副本并在下次请求时直接使用该副本的技术。当 web 缓存发现请求的资源已经被存储,它会拦截请求,返回该资源的拷贝,而不会去源服务器重新下载。这样带来的好处有:缓解服务器端压力,提升性能(获取资源的耗时更短了)。

10.缓存新鲜度如何判断

Web服务器通过2种方式来判断浏览器缓存是否是最新的
1、 Last-Modified和If-Modified-Since
2、 ETags和If-None-Match

11.Http重定向原理以及状态码

在 HTTP 协议中,重定向操作由服务器通过发送特殊的响应(即 redirects)而触发。HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候,会采用该响应提供的新的 URL ,并立即进行加载;大多数情况下,除了会有一小部分性能损失之外,重定向操作对于用户来说是不可见的。

1XX 指示信息
2XX 请求发送成功
3XX 重定向
4XX 客户端发送的请求有语法错误
5XX 服务器错误

12.HTTPS协议 数字证书

	HTTPS协议是以安全为目标的HTTP通道,其实就是HTTP的升级版本

	数字证书:是由权威的CA(Certificate Authority)机构给服务端进行颁发,CA机构通过服务端提供的相关信息生成证书,证书内容包含了持有人的相关信息,服务器的公钥,签署者签名信息(数字签名)等,最重要的是公钥在数字证书中。

13.HTTPS协议与HTTP协议的区别?

  1. HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的SSL加密传输协议。
  2. HTTP采用80端口连接,而HTTPS则是443端口。
  3. HTTPS协议需要到ca申请证书,一般免费证书很少,需要交费,也有些web容器提供,如TOMCAT。HTTP协议不需要。
最低0.47元/天 解锁文章
Jinmindong
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6169
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 7892
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
【Web渗透】Web渗透各类型问题总结
m0_61572518的博客
04-10 4277
简单的总结web渗透中常见的问题,主要分享测试经验和防御措施 一、暴力破解 0x01漏洞介绍 使用字典不断尝试登录系统,猜解认证凭据,达到通过系统认证的目的。 0x02测试方法/工具 1.观察web应用是否有防暴力破解机制,比如验证码机制、ip锁定、账号锁定等。 2.尝试绕过防暴力破解机制。 3.使用burpsuite的intruder模块进行暴力破解。 0x03测试经验总结 1.验证码绕过技巧 1)观察验证码的生成方式,是否由服务端生成、是否安全随机。 2)观察验证码是否在使用一次之
Web安全——渗透测试基础知识上
钟言的博客
07-08 2884
本篇为渗透测试扫盲知识整理,里面包含了100种和渗透有关的知识以及攻击方式: 渗透测试前置知识 1.肉鸡 2.木马 3.远控 4.网页木马 5.黑页 6.挂马 7.大马/小马 8.后门 9.拖库 10.社工库 11.撞库 12.提权 13.网络钓鱼 14.社会工程学攻击 26.C段渗透 27.内网 28.外网 29.中间人攻击 30.端口 31.免杀 32.加壳 33.花指令 34.TCP/IP 35.路由器 36.蜜罐 37.拒绝服务攻击 38.CC攻击 39.脚本注入攻击 (SQL INJECTIO等等
【2024最新版】从零基础入门Web安全(超详细),收藏学习这一篇就够了
程序员若风的博客
05-22 990
Web安全是指保护Web应用程序、Web服务器和Web浏览器免受各种网络攻击和恶意行为的方法和技术。随着越来越多的业务和活动转移到互联网上,Web安全成为越来越重要的问题。
Web安全防攻(渗透测试
m0_62959521的博客
04-07 3147
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5...
web、渗透测试
WWWFFFX的博客
08-05 603
Web渗透测试基本流程 对于web应用的渗透测试,大致可分为三个阶段:信息收集、漏洞发现以及漏洞利用。在实践过程中需要进一步明细测试的流程,以下通过9个阶段来描述渗透测试的整个流程: 1.明确目标 1)确定范围:测试的范围,如:IP、域名、内外网、整站or部分模块 2)确定规则:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权… 目标系统介绍、重点保护对象及特性。 是否允许数据破坏? 是否允许阻断业务正常运行? 测试之前是否应当知会相关部门接口人? 接入方式?外网和内网?
Web渗透测试与XSS攻击详解
weixin_65409651的博客
07-22 449
Web渗透测试(Web Penetration Testing)是一种模拟黑客攻击的方法,用于评估Web应用程序的安全性。通过渗透测试,安全专家可以发现系统中的漏洞和弱点,并提供修复建议,以防止真正的黑客利用这些漏洞进行攻击。
Web渗透测试流程
weixin_52620919的博客
12-01 2465
文章目录什么是渗透测试WEB渗透测试流程1.明确目标2.分析风险,获得授权3.信息收集4.漏洞探测(手动&自动)5.漏洞验证6.信息分析7.利用漏洞,获取数据8.信息整理9.形成报告补充信息收集漏洞探测漏洞利用内网转发内网渗透痕迹清除撰写渗透测试保告 什么是渗透测试 渗透测试就是利用我们所掌握的渗透知识,对一个网站进行一步一步的渗透,发现其中存在的漏洞和隐藏的风险,然后撰写一篇测试报告,提供给我们的客户。客户根据我们撰写的测试报告,对网站进行漏洞修补,以防止黑客的入侵! 【白盒测试】就是在知道目标网
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南
liuhyusb的博客
03-09 1082
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) 位置 : nmap安装目录/scripts/ 例如/usr/share/nmap/scripts脚本类型:ll /usr/sh
WEB渗透基础实战详解.pdf
11-07
"WEB渗透基础实战详解" 本文主要讲解了WEB渗透基础知识,包括SQL注入漏洞、WEB渗透整个过程的还原、sqlmap工具的使用等。 WEB渗透基础知识 在WEB渗透中,SQL注入漏洞是最常见的漏洞之一。SQL注入漏洞是指攻击...
web渗透测试技巧(上)
10-12
### Web渗透测试技巧详解(上) #### 知识点概览 本文将深入解析一系列重要的Web渗透测试技巧,包括但不限于HTTP协议的基础理解、常见的HTTP请求方法及其应用、以及利用特定HTTP方法进行的安全测试实践。 #### ...
web渗透知识图谱,超详解渗透必学!.pdf
06-17
web渗透知识图谱,超详解渗透必学
Web渗透测试(整个全流程).pdf
11-25
web渗透测试的整个流程详解,并带有各个工具推荐 真的非常的详细,可以带初学者快速入门,已经从事web渗透测试的也可以参考 内容:信息收集,漏洞扫描,渗透测试等里面详细的步骤 可以按照步骤一步步的操作,非常...
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
描述中的信息进一步确认了这个项目是与XSS渗透测试相关的,源自一本专门讨论Web安全渗透测试的书籍。"XSS测试平台原始码"强调了这是一套用于教学和实践的工具,通过查看和运行源代码,读者可以学习如何检测、防范...
网络安全自学从入门到精通的制胜攻略!!!
最新发布
2301_77160226的博客
07-27 248
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
“微软蓝屏”事件引发的深度思考:网络安全与系统稳定性的挑战与应对
CWPIN21的博客
07-23 1345
近日,一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅成为科技领域的热点新闻,更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。面对如此大规模的系统中断,网络安全与系统稳定性的讨论再次被推上风口浪尖。如何构建更加稳固和安全的网络环境?
网络安全相关竞赛比赛
黑战士的博客
07-18 1292
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值