1.1web简介
①web发展史
1.0 个人网站、门户网站,不能添加和修改站点信息(SQL注入,上传漏洞为主)
2.0可以发表文章,与浏览者互动(XSS为主)
②web组成
浏览器(常见的客户端或者叫前段)钓鱼,暗链,XSS,点击劫持,CSRF,URL
数据库交互(服务端或者叫后端)SQK注入,命令注入,文件上传,文件包含,暴力破解
③web过程
DNS解析获取IP 2.找到WEB服务器,通过HTTP协议通信,发送HTTP请求,返回HTTP响应
1.2web通信
①Url介绍
Url 站点名称,支持很多协议。
作用 定位服务器资源,web服务器的收货地址,
格式 schema://host[:port#}/path/…/[?query-string][#anchor]
②Http
http默认80端口 超文本传输协议,应用最广泛的网络协议。
(快递小哥进入小区的通行证)浏览器相当于快递小哥,浏览器通过get方式发送请求,cookie相当于凭证;回应:200+hengwen 报文
HTTP的报文:起始行,结尾,身体
请求形式 Head,delete,put,options,referer(统计该请求的来源:百度,chrome)限制别人的使用,防止盗链,凡是CSRF漏洞
1.2web开发入门
①HTML
一、概述
js动态效果,更好的浏览效果。 CSS样式完全消失
HTML超文本标记语言(web的基础,HTML可加载图片动画)
HTML的结构和语法
head 和body组成;开始标签起始
,闭合
二、HTML元素
注释 (不区分大小写)
图像
<img= src="
http://study.163.com/res/images/logos.png"
Width=“500” height=“100” />
链接
表单
内联框架
三、javascript
DOM BOM
1.将代码转换成DOM树;作用:通过gavascript DOM对HTML进行开发
2.javascript(脚本语言)
①DOM BOM
DOME文档对象类型,主要是对于文本的操作,包含获取元素,修改样式,操作元素,大部分操作都是DOM操作,且大部分操作可兼容。
DOM的本质是连接web语言和编程语言,
BOM浏览器对象模型,包括浏览器的一些操作,如windows.open、window.alert、window.colse,兼容性较差,主要包括:获取浏览器的详细信息 window.navigator.userAgent
BOM的本质是连接l浏览器和编程语言
②运行条件
③语法
遵循ECMA规范;借用C Java④⑤⑥⑦
④javascript功能
动画;(源代码已经完成的情况下) (控制台下执行)
获取元素内容;修改HTML内容;创建动态HTML元素内容
document.write(Date());页面增加互动
访问和操作就是JavaScript DOM操作,且为标准方法
⑤BOM
警告弹窗 alert() 确认弹窗 confirm()
提示弹窗 prompt()
如何从浏览器获取客cookie(用户登陆成功网站发送的凭证)
取 document.cookie ;
写入cookie document.cookie='写入值‘)
获取屏幕信息
(window.)screen
URL
(window.)location
操作浏览器窗口
window.open(“http://www.icom”)
第二章 第三节web服务端环境
1.作用:数据终端
2.变化:
静态页面时期(后缀 .html .htl)
动态页面时期(脚本驱动,php脚本语言解析成html服务器,后缀 。php)(语言解释程序 web服务器 数据库 )常见架构
3.流行架构
操作系统 web服务 解释执行环境 数据库服务
4.搭建简易的web服务端
Windows+Apache+PHP+mysql
1.下载安装软件phpstydy2016
2.使用phpstydy2016(root)
5.Mysql服务
Mysql命令行
6.基于本地访问时
本地主机 127.0.0.1
本机IP 域名
第三章web安全工具
->浏览器和浏览器拓展初级
->安全测试之浏览器入门
第一节
主要内容:浏览器安全特性与设置 安全测试常用功能
(不同浏览器安全特性存在差异 可能导致不同浏览器触发效果不同)
一、安全测试常用功能
1.清理缓存 手动设置-隐身模式
2.如何查看网页源代码 想要的元素鼠标右键-检查;小箭头;
3.查看网络数据包 可以查看到当前网络的请求
第二节
主要内容:如何获取浏览器插件-常用插件介绍
1.插件是什么?插件能干什么?
能够增强或丰富原有浏览器功能的小程序
2.具体插件功能讲解
Firebug F12工具栏更条理清晰
HackBar 为Firefox浏览器提供快速构造HTTP 请求及多种编码转换的功能
Advances Cookie Manager 编辑Cookie类插件 为浏览器提供快速修改、增加、删除Cookie
Procy Switcher 结合抓包工具
Firebug HTML 元素查看,网络数据监控
HackBar 分割URL参数,编码,
Tamper Data 截包,看包,抓包,改包
Proxy Switcher
第二节 暴力破解
确认破解范围,确认破解动作,确认破解结果
命令注入
命令 操作系统的命令
1.是否调用系统命令
2.确定可控的字段 ping 127.0.0.1 固定字段 ping+空格
3.确定命令语句
&& 、&、|、||
&& A执行成功才会执行B
& 简单的拼接,AB并无制约关系
| A的输出作为B 的输入
|| A执行失败才会执行B
第三节 暴力破解
过程:用户在浏览器,已登录的web应用上进行非本意的操作;
攻击者欺骗 让其以受害者的名义,执行自己想要的操作
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
