今日所学
web安全-渗透测试工具
-
典型的web构架
web框架解读
张长河,北京卫达,悬赏黑客 -
http协议的主要特点
- 支持客户/服务器模式
- 简单快速
- 灵活
- 无连接
- 无状态
-
http协议的内部操作过程
http定义的事务处理由以下四步组成:- 客户端与服务器端建立连接
- 客户端向服务器端发送请求
- 服务器端向客户端回复响应
- 断开连接
-
http协议的方法:
- get 获取uri 的内容
- head只请求页面的首部
- post
- put
- delete
-
url和uri的区别
URI = Universal Resource Identifier 统一资源标志符,用来标识抽象或物理资源的一个紧凑字符串。
URL = Universal Resource Locator 统一资源定位符,一种定位资源的主要访问机制的字符串,一个标准的URL必须包括:protocol、host、port、path、parameter、anchor。
URN = Universal Resource Name 统一资源名称,通过特定命名空间中的唯一名称或ID来标识资源。URI包括URL和URN两个类别,URL是URI的子集,所以URL一定是URI,而URI不一定是URL -
http有两种报文
请求报文和响应报文 -
http请求报文结构
-
http请求头--cookie
-
http请求头--referer
-
phpstudy后门
-
http响应常见状态码
-
代理服务器
代理服务器(Proxy Server)是一种重要的服务器安全功能,它的工作主要在开放系统互联(OSI)模型的会话层,从而起到防火墙的作用。代理服务器大多被用来连接INTERNET(国际互联网)和Local Area Network(局域网)。 -
协议基础
-
什么是https, https的主要作用是什么?
HTTPS的全称是Secure Hypertext Transfer Protocol(安全超文本传输协议),是在http协议基础上增加了使用SSL加密传送信息的协议。端口443 -
两款分析工具
-
web
-
(bp)burpsuite_pro_v2.1.07和phpStudy的安装
-
信息收集类工具
-
漏洞扫描类工具(见ppt)
-
antsword
加载器+源码 -
behinder
-
sqlmap
遇到的问题:
bp的安装不成功,总是没有证书,将burp-loader-keygen-2_1_07上的证书复制粘贴上去没反应,run也没反应
百思不得其解,最后问同桌,他帮我检查了一下,找出了问题,原来是我的jdk版本太高,导致运行不了,最后我将13.0的卸了重装了一个8u231的,run了一下,就自动打开了,然后复制证书过去也有反应,接下来就水到渠成.
感受:
又是忙碌的一天,接受了很多新东西,感觉东西有点多,自己一下子不太好消化吸收.都怪自己平时没有在这上面下功夫,导致进度跟不上.以后要多多去学,多钻研才能有学有所获.