web安全基础
1. web应用介绍
1. web是什么
WEB指的是web应用,通俗的说就是网站。
2. web发展历程
1. web1.0-----静态网站-------又静态网页构成-------前端网页
网站展示的数据就是网站开发者想让访问者观看的内容
特点:攻击的作用不大,因为不能获取数据,大部分的攻击只能通过拒绝式服务攻击进
行。攻击的原因就是黑客炫技。
2. web2.0----多了数据库
网站展示出的数据来自于数据库,用户可以根据权限、需求访问使用对应的数据。产生了登录、注册功能完成权限的划分。
特点:攻击者的攻击思路发生了变化,从DOS攻击转变成了获取数据。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
3. 结构
1. 硬件
客户端------客户使用的电脑
后端服务器----web服务器与客户端服务器在同一个服务器设备上,web应用与数据库分布式部署
web服务器-------架设网站的
数据库服务器----架设数据库的
2. 软件
1. 客户端
浏览器------前端语言的解析环境,作用就是浏览与数据输入
1. HTML解析环境
2. js解析环境
3. CSS解析环境
2. 服务器端
1. 中间件-----发布网站的
存放网站源码,后端代码也有前端代码
apache\nginx\IIS\tomcat\weblogic
2. 后端语言解析环境–解析对应的后端脚本语言
1. PHP
2. jsp
3. ASP
4. ASPX
3. 数据库-----装数据的
- 名词介绍----广义的数据库指的是数据库管理软件,如mysql,
mssql,oracle。狭义的数据库指的是,数据库管理软件中的库 - 结构----不是所有的数据库都库这层概念
库
表
列
数据
4. 网站的功能—前后台的主要区分方式是权限高低
1. 前台
所有人都可以访问的网页
2. 后台----对网站做管理的。
只有管理人员才可以访问的网站
2. 网站访问
1. 名词解释
urL---统一资源定位符---------网址
urI----通用资源定位符
区别:urL是URI的一部分,URL后面可以跟上数据
2. 访问流程
1. 在浏览器上输入URL
2. DNS解析URL—将域名解析成ip地址
1. 本地浏览器上是否有DNS的缓存,有则直接访问web服务器,并建立连接
2. 如果没有则利用DNS服务器解析域名获得IP地址
3. 客户端与服务器端建立连接
TCP三次握手
1. 客户端向服务器端发送SYN
2. 服务器端回复客户端ACK+SYN
3. 客户端回复服务器端ACK
4. 请求
客户端向服务器端发送请求,请求服务器端上的资源。
5. 响应
服务器找到对应资源,将找到的资源拼接成静态网页,且将此静态网页压缩打包成数据
包发送给客户端。将数据包解压并且在浏览器上解析静态网页。
6. 断开连接
3. web应用编码技术
4. http协议剖析
1. http/https协议
http是超文本传输协议,https是加密超文本传输协议,https数据被加密了,http是明文传输。
特点:HTTP/HTTPS是传输层协议,且是无状态的
2. 请求报文
1. 结构
1. 请求行
- 数据传输的方式
1. POST
数据在请求正文中
特点:传输的数据的量较大,安全性较高
2. GET
数据在URL上
特点:传输的数据量较小,安全性较低
3. PUT,可以向web网页中输入数据-------写入木马文件----造成系统权限的丢失
- 请求的资源
- 使用的协议
2. 消息报头—含有大量的字段
3. 请求正文–传输的数据
2. 字段
1. cookie----保存登录状态,完成一个权限划分
1. cookie----多个字符串
保存在浏览器上,每次访问网站是,浏览器上如果存在该站点的cookie,此cookie的值将会随着请求一起发送
2. session----多个字符串
session值存放在web服务器的某个文件中,但是文件名存放到cookie
- User-Agent,表示发起请求的客户端浏览器版本
- Accept-Language,使用语言----还代表地址
- Content-Type,传输的数据类型什么----MIME
- X-Forwarded-For,发起请求的源IP
3. 响应报文
1. 结构
- 响应行
1. 协议与版本
2. 响应码
1xx请求正在继续,还在处理
2xx请求成功
3xx重定向
4xx客户端错误-----断网
5xx服务端错误
- 消息报头
各种字段 - 响应正文
服务器端找到的资源,且拼接成的静态网页
2. 字段
1. Server:服务器及中间信息
2. X-Powered-By,后端开发语言种类
3. Content-Type,响应内容的类型
5. phpstudy搭建web应用站点
1. phpstudy
快速部署网站的一个集成化工具
2. 特点
免费、小巧、灵活、连接数很小(不利于商用)
3. 部署
将网站的源码放入网站的根目录中并解压
4. 功能
mysql数据库
用户名与密码:root/root----管理员权限
phpmyadmin工具