网络安全
渗透测试
渗透测试就是模拟黑客的真实攻击方式对系统和网站进行非破坏性质的攻击性测试,从而找出信息系统中存在的缺陷和漏洞
渗透测试学习内容
计算机基础、网络基础、常见web漏洞、渗透测试。
渗透测试的基本流程
1.前期交互
2.信息收集
3.漏洞探测
4.渗透攻击
5.后渗透攻击
6.信息整理
7.渗透测试报告
主要学习哪些相关知识
一个体系,一个协议和他延申出来的协议
网络连接的核心-ip地址和端口
什么是ip地址
就是互联网中能找到你的地址,用来在互联网中寻找电脑,ip地址是电子设备在互联网上的唯一标识,DNS协议就是将域名换成ip地址的协议
内网(局域网)ip和公网(互联网)ip的区别
怎么判断自己的ip是公网还是内网
在本地电脑命令(cmd)中数日ipconfig,ifconfig(linux,macos)查看ip,之后上互联网上搜索ip如果对不上,就说明是内网ip
内网原因,内网隔离安全保障,ipv4地址资源耗尽,运营商问题
公网ip:顾名思义,互联网ip地址,可以直接和互联网资源互通(如果是内网需要整服务器),不需要端口映射,日常应用如摄像头远程监控,电脑远程开机,主机游戏互联;公网ip不能直接进入内网,就例如你家门一样,外人进不来你家
什么是端口
端口是应用程序在计算机中的唯一标识(例如qq)
HTTP协议
传输协议定义了浏览器和客户端传输数据的格式
浏览器向服务器发起请求,服务器响应浏览器消息
基于tcp/ip协议,默认端口为80,请求和响应一一对应,每次请求相互独立,是无状态协议
请求方式
http常见八种请求方式,常用get,post
get请求
请求参数在url地址中,url有长度限制,只能传送字符型,而且有大小限制
post请求
请求参数在请求体里,无大小限制,乐意传送字符型,字节型
注:post请求一定要有请求空行
两者区别就是有三点,第一点就是搜索内容位置get在中间,post在后面,第二点get和post的书写,第三点就是post最后一行有content-type,内容形式
以及get请求大小受限制
如果传送照片,音频之类的用post
请求消息
1:请求行,get是一种请求方式,uri(pages)是统一资源定位服务(访问哪)
2:后为请求头就是告诉对面我是谁
host:就是访问网站的名字
user--agent:告诉对方我的浏览器信息和系统信息
referer:告诉服务器从哪里来,例如拼多多招新人,有多种方式了解拼多多,是从朋友链接点来的还是在网上搜的,还是在别的地方下的等等
accept—encoding:浏览器申明自己可以接受的编码方法
accept—language:浏览器申明自己可以接受的语言
3:请求空行,就是个空行
4:请求体,post请求在请求体中
响应消息
1:响应行
响应状态码:服务器告诉浏览器本次请求和响应的状态
1xx:服务器接受浏览器消息未完成,发送1xx状态码
2xx:成功,200
3xx:重定向,302,304(访问缓存)--------假如卡了,会换个地方
4xx: 客户端错误,404(没有找到对应资源) 405(请求方法不被允许)
5xx:服务器错误,500(服务器内部出现异常)
2:响应头
3:响应空行
4:响应体
BS架构