P2:基础入门-web应用&架构搭建&漏洞&HTTP数据包&代理

一、知识讲解

1、网站搭建前置知识

  1. 域名:网站常见的名称如www.xxx.com
  2. 子域名:
  3. DNS解析:
  4. HTTP/HTTTPS
  5. 证书

2、web应用环境架构类

  1. 开发语言:asp、php、jsp、aspx、java、python、ruby、go、html、javascript等
  2. 程序源码:
    1. 应用类型分类
    2. 开发语言分类
    3. 开源cms分类
    4. 开发框架分类等
  3. 中间件容器:IIS、Apache、Nginx、Tomcat、Weblogic、Jbos、glasshfish等
  4. 数据库类型:Access、Mysql、Mssql、Oracle、db2、Sybase、Redis、MongoDB等
    1. Mysql常搭配php
    2. SQlServer常搭配asp / aspx
    3. IIS常搭配ASP / ASPX
    4. apache常搭配php
    5. tomcat常搭配jsp
  5. 服务器操作系统:windows系列、Linux系列、Mac系列等
  6. 第三方软件:phpmyadmin、vs-ftpd、VNC、ELK、Openssh等

3、web应用安全漏洞分类

  1. SQL注入
  2. 文件安全(包括文件上传、下载、删除等)
  3. RCE执行
  4. XSS跨站
  5. CSRF/SSRF/CRLF
  6. 反序列化
  7. 逻辑越权
  8. 未授权访问
  9. XXE/XML
  10. 弱口令安全

4、web请求返回过程数据包

二、实例操作

1、搭建属于一个自己的网站

  1. 购买一个服务器:
  2. 购买网站所需要的域名并配置好
  3. 下载宝塔等一键搭建的软件或自行download源码进行搭建即可
  4. 详细可参考(因为没有相关技术操作,这里就不给大家演示了):如何详细搭建一个属于自己的网站(适合小白)(超详细)_搭建网站-CSDN博客

2、简单操作实现免费刷赞-重放数据包

  1. burpsuite(抓包工具)和浏览器设置好代理
  2. 拦截点赞的数据包,将数据包放入到repeat模块下
  3. 重放改数据包,实现免费刷赞

3、PC端伪造移动端(手机)访问:伪造UA头

  1. 原理就是将数据包中的UA头更改即可

4、网站目录扫描(信息收集):寻找网站中的文件(用工具字典的爆破-->根据返回包来判断文件的存在与否)

  1. 抓取到网站的一个数据包,我这里就随便演示一下(因为用工具扫描的话,数据太大容易被封)
  2. 上述截图,通过返回包的结果可以判断文件是否存在

5、代理池:防止类似后期测试造成的数据过大被封

  1. 购买地址:www.kuaidaili.com

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值