CTF入门学习2->Web基础了解
Web安全基础
00 Web介绍
00-00
Web本意是网,这里多指万维网(World Wide Web),是由许多互相连接的超文本系统组成的,通过互联网访问。
Web是非常广泛的互联网应用,每天都有数以亿万计的Web资源传输。
我们平时通过浏览器上网都属于Web。
PS:万维网和互联网、因特网又有什么联系呢?
00-01 Web发展史
Web1.0
初期;
典型示例:
门户网站
个人页面
安全问题:
SQL注入
上传漏洞
文件包含
挂马、暗链
命令执行
(主要危害Web服务器)
一般就是提供静态的页面给用户,而且这种信息只能够阅读,不能够修改或添加。
Web2.0
如今;
典型示例:
微博
Blog
安全问题:
(更复杂,逐渐针对Web用户
钓鱼
URL跳转
数据劫持
框架漏洞
CSRF
XSS
逻辑漏洞
Web安全形势不容乐观,数量迅速增长,种类迅速增多,从针对Web服务器到Web用户,所以Web安全知识比较重要。
00-02 Web工作流程
以点餐类比
通常我们作为客户,只需要向服务员点餐、服务员上餐就可以了,而如果想要了解全过程,那Web的后续和餐厅订餐的后续也是很像的。
下面是Web提供服务的标准流程:
这里也分为客户端和服务端。
上面的安全问题也可以以此划分。
00-03 浏览器
工作原理
我们访问一个网站,输入的是一个URL(域名/网址),浏览器是无法通过我们输入的URL找到相应的Web服务器的,它只能通过IP地址才能找到Web服务器。
所以第一步,浏览器先通过URL获取Web服务器的IP地址(也称DNS解析);
第二步,才是通过解析得到的IP地址,访问Web服务器。
工作示例
我们打开浏览器,输入:https://www.cnblogs.com/Roboduster
浏览器收到这个URL,会先进行上面说到的DNS解析,通常情况下,浏览器会先向DNS服务器发送解析请求,请求查询这个URL的IP地址。
DNS服务器处理完成后,返回这个IP地址。
浏览器接收这个信息,并据此找到WEB服务器。
之后,需要根据HTTP协议进行通讯。
浏览器先发送一个HTTP请求,服务器处理完后,会返回一个HTTP响应给浏览器。
操作演示
我们打开https://www.cnblogs.com/Roboduster
按F12(自行找到开发者工具),选中网络这一格
然后我们,找到左侧的all(全部),点击,刷新该页面。
刷新后可以看到浏览器发送了很多请求。这些请求就是我们说的HTTP请求。
我们选中左侧的任何一个js文件,右侧标头(head)里可以看到请求的详细信息。响应里有这个js经过压缩的样子。预览可以看到好一点的代码风格。
同理可以查看CSS和img等各种文件格式。
最重要的是我们需要关注上方的文档(Doc),这是我们请求的主页面,我们可以在下面的计时(timing)查看请求的耗时
在标头里我们可以看到远程地址,这里就是所请求的IP对应的服务器的地址
在响应里可以看到我们请求得到的数据体
00-04 留一个问题
通过上面的操作我们可能会有疑问,我们查看的是HTTP响应,这里是相应的数据流,而我们平时上网看到的是各色各样的Web页面。
那么浏览器是如何将服务器返回的HTTP响应转换成我们看到的页面的呢?
这就涉及各种标准和技术:HTML、JS、CSS等;这些东西将响应渲染成特定的页面给用户。
CTF入门学习2->Web基础了解的更多相关文章
- CTF入门学习5-> 前端JavaScript基础
Web安全基础 JavaScript的实现包括以下3个部分: 1)核心语法:描述了JS的语法和基本对象. 2)文档对象模型 (DOM):处理网页内容的方法和接口 3)浏览器对象模型(BOM):与浏览器 ...
- CTF入门学习4->前端HTML基础
Web安全基础 02 前端开发-HTML基础 浏览器对于上网者来说是一种直观.可视化的呈现.服务器发送数据到客户端,客户端需要处理这些数据,互联网就造就了这种数据语言--HTML. 02-00 概述 ...
- CTF入门学习3->Web通信基础
Web安全基础 01 Web通信 这个部分重点介绍浏览器与Web服务器的详细通信过程. 01-00 URL协议 只要上网访问服务器,就离不开URL. URL是什么? URL就是我们在浏览器里输入的站点 ...
- servlet入门学习之Web容器
一.web服务器 web服务器(程序/软件) 即:www服务器或http服务器.提供Web信息浏览服务.它只需支持HTTP协议.HTML文档格式及URL.向浏览器提供服务的程序. 1.Web服务器是指 ...
- SQL入门学习1-查询基础
2-1 SELECT语句基础 SELECT语句作用 SELECT 语句用于从表中选取数据. 结果被存储在一个结果表中(称为结果集). 重点 使用SELECT语句从表中选取数据. 为列设定显示用的别名 ...
- 【转】Java学习---Java Web基础面试题整理
[原文]https://www.toutiao.com/i6592359948632457731/ 1.什么是Servlet? 可以从两个方面去看Servlet: a.API:有一个接口servlet ...
- Qt快速入门学习笔记(基础篇)
本文基于Qter开源社区论坛版主yafeilinux编写的<Qt快速入门系列教程目录>,网址:http://bbs.qter.org/forum.php?mod=viewthread&am ...
- Python 入门学习 -----变量及基础类型(元组,列表,字典,集合)
Python的变量和数据类型 1 .python的变量是不须要事先定义数据类型的.能够动态的改变 2. Python其中一切皆对象,变量也是一个对象,有自己的属性和方法 我们能够通过 来查看变量的类型 ...
- CTF入门指南(0基础)
ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows.linux.小型机等 misc 杂项,隐写,数 ...
随机推荐
- firewalld dbus接口使用指南
firewalld,一个基于动态区的iptables/nftables守护程序,自2009年左右开始开发,最新版本 - 防火墙0.6.3 - 发布于2018年10月11日.主要的开发人员是托马斯·沃纳 ...
- Analysis Tools(分析工具)
分析工具 1.叠加分析 # Process: 交集取反 arcpy.SymDiff_analysis("", "", 输出要素类, "ALL" ...
- 看动画学算法之:平衡二叉搜索树AVL Tree
目录 简介 AVL的特性 AVL的构建 AVL的搜索 AVL的插入 AVL的删除 简介 平衡二叉搜索树是一种特殊的二叉搜索树.为什么会有平衡二叉搜索树呢? 考虑一下二叉搜索树的特殊情况,如果一个二叉搜 ...
- python中的 * 和 ** 作用含义
python中的 * 和 ** ,能够让函数支持任意数量的参数,它们在函数定义和调用中,有着不同的目的 一. 打包参数 * 的作用:在函数定义中,收集所有位置参数到一个新的元组,并将整个元组赋值给变量 ...
- python函数参数类型:位置参数、默认参数、动态参数、关键字参数
1.位置参数:调用函数的时候传的参数,参数默认按顺序赋值,如果是指定那个参数赋值,不关注顺序.指定参数a=1,b=2 就在函数体内a=1,b=2 2.默认参数:在定义函数的时候,给某个参数设置默认值 ...
- 初探JavaScript PDF blob转换为Word docx方法
PDF转WORD为什么是历史难题 PDF 转Word 是一个非常非常普遍的需求,可谓人人忌危,为什么如此普遍的需求,却如此难行呢,还得看为什么会有这样的一个需求: PDF文档遵循iOS32000的规范 ...
- Apache Common-collection 反序列化利用链解析--TransformedMap链
Apache Common-collection 反序列化利用链解析 TransformedMap链 参考Java反序列化漏洞分析 - ssooking - 博客园 (cnblogs.com) poc ...
- g++ 常用命令
g++ --help
- JVM:体系结构
JVM:体系结构 本笔记是根据bilibili上 尚硅谷 的课程 Java大厂面试题第二季 而做的笔记 概览 Java GC 主要回收的是 方法区 和 堆 中的内容 类加载器 类加载器是什么 双亲委派 ...
- UltraSoft - DDL Killer - Alpha 项目展示
团队介绍 CookieLau fmh 王 FUJI LZH DZ Monster PM & 后端 前端 前端 前端 后端 后端 软件介绍 项目简介 项目名称:DDLKiller 项目描述:&q ...