小迪安全第二天

文章目录

  • 一、Web应用,架构搭建
  • 二、web应用环境架构类
  • 三、web应用安全漏洞分类
  • 总结

一、Web应用,架构搭建

#网站搭建前置知识
域名,子域名,dns,http/https,证书等

二、web应用环境架构类

理解不同web应用组成角色功能架构
开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
程序源码:根据开发语言分类;应用型分类;开源cms分类;开发框架分类等
中间件容器(相当于支撑网站的运行):IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
数据库类型(储存网站/用户信息等):Acess,mysql,oracle,db2,Sybase,redis,mongodb等

服务器操作系统:windows系列,linux系列,mac系列等
第三方软件:phpmyadmin,vs-ftpd,vnc,elk,openssh等
宝塔里集合里面的各种中间件等

三、web应用安全漏洞分类

Sql注入,文件安全,RCE执行,xss跨站,csrf/ssrf/crlf,反序列化,逻辑越权,未授权访问,xxe/xml,弱口令安全等----产生于程序源码

web请求返回过程数据包参考:
https://www.cnblogs.com/cherrycui/p/10815465.html

https://www.jianshu.com/p/558455228c43

模拟器访问和电脑访问不同
User-agent代表了不同客户端的访问可能是手机端或电脑端
(逍遥模拟器相当于手机访问)
可以利用抓包工具bp实现手机端访问电脑端浏览器。
在这里插入图片描述

没设置代理
浏览器-服务器
设置代理
浏览器-代理-服务器
127.0.0.1 8080
Burpsuite 监听127.0.0.1 8080

Burp拦截后选择性的进行丢弃或放行

在虚拟机上使用burpsuite时,要设置代理为本地的ip地址如192.168.1.1 8080不能使用127.0.01 8080,因为虚拟机作为了一个独立的系统而存在找的话相当于在它虚拟系统里寻找所以经常会导致抓包失败。

状态码判断文件是否存在
在这里插入图片描述

文件夹判断是403存在404不存在
文件200存在404不存在
3xx跳转 处置过程 判断可有可无
5xx 内部错误 服务器问题 判断可有可无

查询ip:https://www.ip138.com/
可利用买代理(相当于远程服务器),解决拉黑ip和封ip

总结

冲!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/324299.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【固态钽表面贴装电容】 MIL-PRF-55365 美军标

钽电解电容器是体积效率、电气参数稳定、高可靠性和长使用寿命是主要考虑因素的应用的首选。 钽/氧化钽/二氧化锰系统的稳定性和对高温的耐受性使固体钽消泡器成为当今表面贴装组装技术的合适选择。 钽不是纯净状态的。 相反,它通常存在于许多氧化物矿物中&#xf…

RAG常见七大坑

论文题目:《Seven Failure Points When Engineering a Retrieval Augmented Generation System》 论文地址:https://arxiv.org/pdf/2401.05856.pdf 这篇论文主要探讨了构建检索增强生成系统(Retrieval Augmented Generation, RAG)…

如何正确使用数据库的读写分离

本文已收录至我的个人网站:程序员波特,主要记录Java相关技术系列教程,共享电子书、Java学习路线、视频教程、简历模板和面试题等学习资源,让想要学习的你,不再迷茫。 背景 在应用系统发展的初期,我们并不知…

QT图表-折线图、曲线图

时间记录:2024/1/15 一、使用步骤 1.添加图表模块 .pro项目管理文件中添加charts模块 QChart类:图表类 QChartView类:图表显示类 2.ui文件中添加QChartView组件 (1)选择一个QGrapicsView组件将其拖拽到ui界面上合适位…

C语言从入门到实战——结构体与位段

结构体与位段 前言一、结构体类型的声明1.1 结构体1.1.1 结构的声明1.1.2 结构体变量的创建和初始化 1.2 结构的特殊声明1.3 结构的自引用 二、 结构体内存对齐2.1 对齐规则2.2 为什么存在内存对齐2.3 修改默认对齐数 三、结构体传参四、 结构体实现位段4.1 什么是位段4.2 位段…

vue前端开发自学,插槽练习,同时渲染父子组件的数据信息

vue前端开发自学,插槽练习,同时渲染父子组件的数据信息! 如果想在slot插槽出口里面,同时渲染出来,来自父组件的数据,和子组件自身的数据呢。又有点绕口了。vue官方给的解决办法是。需要借助于,父组件的自定义属性。 …

边缘计算的挑战和机遇(结合RDH-EI)

边缘计算的挑战和机遇 边缘计算面临着数据安全与隐私保护、网络稳定性等挑战,但同时也带来了更强的实时性和本地处理能力,为企业降低了成本和压力,提高了数据处理效率。因此,边缘计算既带来了挑战也带来了机遇,需要我…

【电子通识】各国电源插头标准和电压标准

在使用仪器时,通常会在使用之前去看下规格书。比如安装指南、快速使用指南等等来提取我们需要的信息。 一般大型的仪器供应商会卖往不同的国家,所以都会配置多种电源线。如下所示规格书中对仪器的电源线种类进行了说明。其中有中国、美国、加拿大、日本…

CentOS将磁盘剩余空间分配到已有分区

CentOS将磁盘剩余空间分配到已有分区 引growpartresize2fs 引 手里有台云服务,之前磁盘只有60G,在执行SQL语句时报错No space left on device. 通过df -h查看磁盘占用情况,确实所剩无几了 通过云服务后端控制台升级了下配置,将…

16 命令行模式

命令行模式 将行为的执行与与行为的调用通过命令分离,行为的的调用者不需要知道具体是哪个类执行的,他们之间通过命令连接。 demo的目录结构 命令的执行者(接口) package behavioralpattern.commandpattern.actuator;import ja…

宁夏银行关键系统基于OceanBase的创新实践

宁夏银行成立于 1998 年,是宁夏第一家“宁”字号地方商业银行,西部地区第一家以省级行政区命名的地方商业银行。2016 年,被中国人民银行评为宁夏地区系统性重要银行。目前,全行设分支机构 97 家,其中总行营业部 1 家&a…

vulnhub靶场之DC-9

一.环境搭建 1.靶场描述 DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. The ultimate goal of this challenge is to get root and to read the one and only flag. Linux skills and famili…

编码技巧:如何在Golang中高效解析和生成XML

编码技巧:如何在Golang中高效解析和生成XML 引言Golang中的XML基础解析XML文件生成XML文件错误处理和调试高级技巧和最佳实践总结 引言 在当今数据驱动的编程世界中,有效地处理各种数据格式是每个开发人员必备的技能之一。其中,XML&#xff…

【MATLAB】CEEMD+FFT+HHT组合算法

代码原理 CEEMD(集合经验模态分解)FFT(快速傅里叶变换)HHT(希尔伯特-黄变换)组合算法也是一种常见的信号处理和分析方法。这种组合算法结合了CEEMD、FFT和HHT三个步骤,可以处理非线性和非平稳信…

Vue入门七(Vuex的使用|Vue-router|LocalStorage与SessionStorage和cookie的使用)

文章目录 一、Vuex1)理解vuex2)优点3)何时使用?4)使用步骤① 安装vuex② 注册vuex③ 引用vuex④ 创建仓库Store五个模块介绍 5)基本使用 二、Vue-router三、LocalStorage与SessionStorage、cookie的使用 一…

如何用GPT/GPT4完成AI绘图和论文写作?

详情点击链接:如何用GPT/GPT4完成AI绘图和论文写作? 一OpenAI 1.最新大模型GPT-4 Turbo 2.最新发布的高级数据分析,AI画图,图像识别,文档API 3.GPT Store 4.从0到1创建自己的GPT应用 5. 模型Gemini以及大模型Clau…

202406读书笔记|《沉睡的线条世界》——翻山越岭,只为与你分享点滴的快乐

《沉睡的线条世界》登登登Dn绘著,简简单单的小画,简简单单的线条,简简单单的语言,温馨又有一点暖心。 怎样的你都好,做最真实的自己。 部分节选如下: 愿你我永远有热情,永远能为生活的每一个小惊…

运筹说 第67期 | 动态规划模型的建立与求解

通过前一期的学习,我们已经学会了动态规划的基本概念和基本原理。本期小编带大家学习动态规划模型的建立与求解。 动态规划模型的建立 一 概述 建立动态规划的模型,就是分析问题并建立问题的动态规划基本方程。 成功地应用动态规划方法的关键&#x…

flutter使用getx进行数据状态管理,实现页面响应式

无论是什么样的应用,都还是需要最基础的数据来支撑的,而且不同的页面之间可能需要共享数据状态,这就显得数据状态管理非常有必要了。因为我这里使用了get依赖库,所以就可以直接在项目中使用getx来管理状态,不想再使用别…

PXE 高效批量网络装机

前提: 虚拟机恢复到初始化 调整网卡为vm1 关闭防火墙 安全linux systemctl stop firewalld vim /etc/selinux/config 配置IP地址 vim /etc/sysconfig/network-scripts/ifcfg-ens33 重启网卡 systemctl restart network 挂载磁盘 安装yum源 安装服务 yum install vs…