web安全基础知识(二)

最新推荐文章于 2024-05-29 22:41:01 发布
最新推荐文章于 2024-05-29 22:41:01 发布
阅读量1.1k 收藏 1
点赞数 5
分类专栏: web安全基础 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zqzqzqzqwuwuwu/article/details/110194997
版权

web安全基础知识(接上篇文章)

十,HTTP认证——BASIC认证

1,认证过程:
(1)客户端发起HTTP请求,请求的资源是受限资源(登陆可以访问)
(2)服务器接收到请求后,先不返回资源,给客户端返回登录名和密码
(3)客户端收到页面后输入用户名和密码,发送给服务器。服务器返回数据库验证
(4)验证成功后用户可以访问首先资源
2,用途:小型网络认证(如路由器)
3,特点:base64编码后明文传输用户名及口令
4,优点:几乎所有浏览器都支持
5,缺点:安全性无保障

十一,HTTP认证——HTTP OAuth

1,认证过程
客户端询问用户是否经过授权,同意授权后,客户端向第三方服务器请求token,认证服务通过后返回token,接下来的请求的资源会携带token去请求
2,OAuth认证过程
实现功能:豆瓣授权登陆页面,第三方登录OAuth认证。
①用户请求豆瓣网站登录,登陆后用户请求第三方QQ等率,豆瓣执行302跳转到QQ授权网站
②执行完跳转以后相当于用户向授权服务器发送请求,即用户想QQ授权服务器发送请求
③用户输入QQ的用户名和密码,给QQ的授权服务器进行认证。认证成功后执行302网站跳转,跳转回豆瓣网站,此时携带的含有QQ授权信息的token
④在浏览器端感知不到,最终完成用户看起来登录成功,并进入了豆瓣首页
⑤接下来的请求直接向豆瓣请求,豆瓣每次请求都会向QQ服务器发送请求,携带的就是之前验证成功信息的token,返回200,接下来携带着有用户名、密码等信息的返回请求。登陆时发现QQ信息同步到豆瓣网站上。
——这个过程叫做OAuth认证。

十二,HTTP认证——Cookie Auth

是什么?用户请求网站;网站要求提供用户名和密码认证;认证成功后。网站将返回一个cookie信息;洪武再次登录,如果没有清楚cookie,则不需要再进行认证。

十三,SSL/TLS

是什么?用于在两个通信应用程序之间提供保密性和数据完整性的通信协议;TLS是SSL的继任者,叫传输层安全

十四,HTTP和HTTPS的区别

HTTP明文传输,80端口
HTTPS加密传输,443端口

十五,TLS握手过程

在这里插入图片描述

十六,HTTPS握手过程

在这里插入图片描述

Dikeo
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
web安全——基础知识(计算机网络part1)
学习记录
03-01 8067
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
25.WEB安全基础知识一 网站基础知识
qwsn
08-04 1615
1、网站基础知识 01 网站访问过程 域名->ip->服务器-服务器上的网站 网站->浏览器 02 网站的基础组成部分 html(超文本标记语言):定义页面的内容 div+css(层叠样式表):定义页面的布局 javascript(js脚本语言):处理页面的动作 03 网站类型 静态网站:没有程序语言而且没有数据库、不可进行交互、后缀多为html/htm/shtml。 动态网站:程序语言、逻辑语言、有数据库、可交互、而且后缀多为php/asp/aspx/jsp/伪静态html等。
一、web安全入门基础知识
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的级域名网站进行扫描,发现是否有漏洞,从而通过级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
信息与网络安全基础知识汇总
热门推荐
qq_50218610的博客
05-31 2万+
信息与网络安全基础知识汇总
Web安全基础
weixin_50906078的博客
04-16 3761
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
Web基础知识
农夫果园好好喝的博客
04-25 2755
1.web常见术语 渗透测试:找漏洞 网站:使用一定标准,展示特定内容的集合。网站是一种沟通工具。分为静态网站和动态网站。 CMS:网站模板, PHP:在服务器端执行的脚本语言,后端开发语言。 脚本语言:仅在调用时解释或者编译。 数据库:数据集合。 HTTP请求:浏览器向Web服务器发送请求,分为三部分:请求方法URL协议/版本、请求头,请求正文 HTML:超文本标记语言 JavaScript:作为开发Web的常用脚本语言 2.Web组件 Web组件是指对Web的数据和方法进行封装实体,可以包含JavaBe
Web安全常见基本知识
Layouwen的博客
03-08 5428
1、XSS 跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。 反射性 通过在传参处植入代码,实现数据的传输。 存储型 借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。 常见危害 获取页面数据 获取Cookies 劫持前端逻辑 发送请求 偷取网页数据 偷取用户信息 偷取用户的登录态 欺骗用户 防范方案 HEAD 通过添加 header 来禁止 XSS 过滤 ctx.set('X-XSS-Protection',
web安全基础
lixbao的博客
04-15 4095
HTTP原理 1、HTTP协议解析 Hyper Text Transfer Protocol(超文本传输协议)是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC RFC 1945 HTTP/1.0 RFC 2616 HTTP 1.1 HTTP工作流程 首先客户机与服务器需要建立连接。单击某个超级链接,经过TCP三次握手后,HTTP的工作开始。
WEB安全知识体系
weixin_51552620的博客
05-29 1533
web安全所需的基本理论知识
web安全基础知识练习
01-21
web安全
web安全基础知识全图.png
02-14
web安全基础知识点总结,从风险评估、安全防护、应急响应、安全加固、大数据安全、物联网安全 、 其他方面做出总结,为xmind导图
网易web安全web基础知识
06-07
总之,《Web基础知识》涵盖了Web开发的多个层面,而Web安全贯穿其中。学习和掌握这些知识,不仅能帮助开发者创建功能丰富的网站,也能保障用户的隐私和系统的安全。在实际工作中,开发者应时刻警惕潜在的安全风险,...
web安全基础知识全总结.zip
11-26
资源进行了更新,增添了更多内容,之前购买的朋友可以私聊,免费更新 详细内容请查看此博客 https://blog.csdn.net/weixin_46706771/article/details/121567304
26.WEB安全基础知识 详解HTTP协议
qwsn
08-04 1649
1、HTTP简介 01 http(超文本传输协议):是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。 02 HTTP是一个属于应用层的面对的协议 03 HTTP协议特点: 特点1:支持客户/服务器模式,基于请求与响应的。 特点2:无连接:限制每次连接只处理一一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。 特点3:无状态:指
SQLAlchemy-2.0.31-cp38-cp38-musllinux_1_2_x86_64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
slim-0.7.0a1-py3-none-any.whl
08-31
whl软件包,直接pip install安装即可
lxml-5.0.1-cp310-cp310-win32.whl
最新发布
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
SQLAlchemy-2.0.31-cp38-cp38-musllinux_1_2_aarch64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值