web安全学习笔记【10】——数据包分析

基础[1] [2] [3] [4] 入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断[5] [6] [7] 

#知识点:

1、Web常规-系统&中间件&数据库&源码等

2、Web其他-前后端&软件&Docker&分配站等

3、Web拓展-CDN&WAF&OSS&反向&负载均衡等

-----------------------------------

1、APP架构-封装&原生态&H5&flutter等

2、小程序架构-Web&H5&JS&VUE框架等

-----------------------------------

1、渗透命令-常规命令&文件上传下载

2、反弹Shell-防火墙策略&正反向连接

3、数据回显-查询带外&网络协议层级

-----------------------------------

1、抓包技术-HTTP/S-Web&APP&小程序&PC应用等2、抓包工具-Burp&Fidder&Charles&Proxifier

-----------------------------------

1、抓包技术-全局-APP&小程序&PC应用

2、抓包工具-Wireshark&科来分析&封包

-----------------------------------

1、存储密码加密-应用对象

2、传输加密编码-发送回显

3、数据传输格式-统一格式

4、代码特性混淆-开发语言

-----------------------------------

1、单向散列加密 -MD5,HASH

2、对称加密 -AES DES

3、非对称加密 -RSA

4、解密-识别&需求&寻找(前后端)&操作

-----------------------------------

1、HTTP/S数据包请求与返回

2、请求包头部常见解释和应用

3、返回包状态码值解释和应用

4、HTTP/S测试工具Postman使用

#章节点

应用架构:Web/APP/云应用/小程序/负载均衡等

安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等

渗透命令:文件上传下载/端口服务/Shell反弹等

抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等

算法加密:数据编码/密码算法/密码保护/反编译/加壳等

Request

Response

演示案例:

  • 数据-方法&头部&状态码
  • 案例-文件探针&登录爆破
  • 工具-Postman自构造使用

#数据-方法&头部&状态码

-方法

1、常规请求-Get

2、用户登录-Post

•get:向特定资源发出请求(请求指定页面信息,并返回实体主体);

•post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改;

•head:与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类

似,返回的响应中没有具体内容,用于获取报头);

•put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与post的区别是put为幂等,post为非幂等;

•trace:回显服务器收到的请求,用于测试和诊断。trace是http8种请求方式之中最安全的l

•delete:请求服务器删除request-URL所标示的资源*(请求服务器删除页面)

•option:返回服务器针对特定资源所支持的HTML请求方法 或web服务器发送*测试服务器功能(允许客户 端查看服务器性能);

•connect : HTTP/1.1协议中能够将连接改为管道方式的代理服务器

-参数

演示:

1、UA头-设备平台(web端和模拟器手机端UA头替换放包)

2、Cookie-身份替换(web端和模拟器手机端cookie替换放包)

-Response状态码

1、数据是否正常

2、文件是否存在

3、地址自动跳转

4、服务提供错误

注:容错处理识别

•-1xx:指示信息—表示请求已接收,继续处理。

•-2xx:成功—表示请求已经被成功接收、理解、接受。

•-3xx:重定向—要完成请求必须进行更进一步的操作。

•-4xx:客户端错误—请求有语法错误或请求无法实现。

•-5xx:服务器端错误—服务器未能实现合法的请求。

•200 OK:客户端请求成功

•301 redirect:页面永久性移走,服务器进行重定向跳转;

•302 redirect:页面暂时性移走,服务器进行重定向跳转,具有被劫持的安全风险;

•400 BadRequest:由于客户端请求有语法错误,不能被服务器所理解;

•401 Unauthonzed:请求未经授权。

•403 Forbidden:服务器收到请求,但是拒绝提供服务。

•404 NotFound:请求的资源不存在,例如,输入了错误的URL;

•500 InternalServerError:服务器发生不可预期的错误,无法完成客户端的请求;

•503 ServiceUnavailable:服务器当前不能够处理客户端的请求

#案例-文件探针&登录爆破

-实验:

1、页面正常访问

2、网站文件探针

3、后台登录爆破

payload加密

#工具-Postman自构造使用

https://zhuanlan.zhihu.com/p/551703621

利用这个工具发现替换了cookie就登陆进去了 以此判断是cookie起了作用

同理 别的点可以不断测试哪个包起作用

思维导图


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/348185.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

go语言(十三)-----interface

一、Interface 通用万能类型 空接口int,string,float,struct都实现了interface都可以用interface{}类型,引用任意的数据类型 package mainimport "fmt"//interface()是万能数据类型 func myFunc(arg interface{}) {fmt.Println(&…

pycharm中无法使用anaconda虚拟环境

anaconda里创建了虚拟环境,然后在虚拟环境中明明安装了TensorFlow1.12,但是到pycharm中使用anaconda的虚拟环境时,就是没有TensorFlow1.12,注意下面这幅图 里面有一个选项“use conda package manager”,这个默认是勾…

聊聊 程序员裁员潮:技术变革下的职业危机

前几天一则新闻爆料:一对来自中国的工程师夫妻在美身亡,疑因谷歌裁员致悲剧发生。看到后深感可惜,鲜活的生命就因为裁员殒落了;同时我也深有感触,有幸经历过裁员,体会过那一段低迷不振的日子。 但是回首当下…

Aleo项目详细介绍-一个兼顾隐私和可编程性的隐私公链

Aleo上线在即,整理一篇项目的详细介绍,喜欢的收藏。有计划做aleo节点的可交流。 一、项目简介 Aleo 最初是在 2016 年构思的,旨在研究可编程零知识。公司由 Howard Wu、Michael Beller、Collin Chin 和 Raymond Chu 于 2019 年正式成立。 …

Docker 和 Kubernetes:容器化时代的崛起与演变

在过去的十年间,容器化技术彻底改变了软件开发和部署的面貌。 Docker 的登场无疑是这场变革的催化剂,它将应用和服务的打包、分发、部署流程标准化,让开发者的生活变得更加简单。 紧随其后,Kubernetes 作为容器编排的领军者&#…

文旅AI交互数字人,提升景区数字化导览服务体验

随着数字化的普及,文化旅游逐渐走向数字化,通过数字人技术手段对文化旅游资源进行整合与开发。 AI交互数字人可以部署于交互式终端设备和移动端,可以为游客提供“面对面”的语音交互,提供路径规划、游览路线推荐、景点讲解等服务&…

IP被封怎么办?访问网站时IP被阻止?解决IP禁令全方法

相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。在本文中,我们…

【Leetcode】2859. 计算 K 置位下标对应元素的和

文章目录 题目思路代码结果 题目 题目链接 给你一个下标从 0 开始的整数数组 nums 和一个整数 k 。 请你用整数形式返回 nums 中的特定元素之和 ,这些特定元素满足:其对应下标的二进制表示中恰存在 k 个置位。 整数的二进制表示中的 1 就是这个整数的…

数灵通让抖音跳转微信公众号更方便

当提到抖音跳转微信,人们通常指的是在抖音平台上利用一些方法将用户引导到企业的微信公众号。以下是关于如何实现这一目标的一些建议: 1.扫码跳转:在抖音视频或动态中嵌入一个二维码,用户扫描后可自动跳转至微信公众号页面。 2.个…

ERA ·Era Network:Web3.0社交的破局者

在当今数字化环境中,互联网的集中化严重制约了个人对数据的控制权,引发了对数据隐私、所有权和自主权的重大关切。这一问题尤其在社交网络、数据存储和内容传输等关键领域表现得尤为明显,用户常常感到无法充分掌握自己的数字身份和个人数据。…

IDEA 中怎么查看 Maven 依赖关系图

程序员的公众号:源1024,获取更多资料,无加密无套路! 最近整理了一份大厂面试资料《史上最全大厂面试题》,Springboot、微服务、算法、数据结构、Zookeeper、Mybatis、Dubbo、linux、Kafka、Elasticsearch、数据库等等 …

【云原生】Docker如何构建镜像

目录 前言 一、基于已有的镜像创建 步骤一:先基于现有的镜像创建一个容器,然后进入容器去完成修改 步骤二:将该容器作为一个模板提交创建为一个新的镜像 步骤三:基于新的镜像,docker run创建一个容器,进…

进阶C语言-自定义类型

为了便于描述复杂的对象,C语言就支持了自定义类型,其中包括了结构体、枚举和联合体,下面将为大家一一介绍。 自定义类型 🎈1.结构体🔎1.1结构的基础知识🔎1.2结构的声明🔎1.3特殊的声明🔎1.4结构…

Maya---多切割

tips:鼠标左键不能松开 捕捉步长设置

gitlab runner 安装、注册、配置、使用(Docker部署)

天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。…

汽车智能化大潮拍岸,本土供应商叩开合资品牌大门

作者 |张祥威 编辑 |德新 2014年左右,新能源车赛道方兴,催生了宁德时代、地平线等一批本土汽车供应链公司的崛起。不到十年间,本土供应商在电动化已经走在全球前列。 2023年开始,整个汽车行业加速进入智能化下半场,本…

springboot实现aop

目录 AOP(术语)引入依赖实现步骤测试验证感谢阅读 AOP(术语) 连接点 类里面哪些方法可以增强,这些点被称为连接点 切入点 实际被真正增强的方法 通知(增强) 实际增强的逻辑部分称为通知(增强) 通知(增强&…

Unity制作右键菜单(自适应分辨率)

一、需求 右键触发打开菜单,左键在内部可选择选项,左键单击菜单范围外关闭。难点在于屏幕坐标系,鼠标位置,UI位置之间的关系。 二、理论 前置知识: unity中,用RectTransform对象的position.x和position.y表…

eNSP学习——理解交换机Hybird接口的应用

目录 原理概述 实验内容 实验目的 实验步骤 实验拓扑 实验编址 实验步骤 基本配置(此处仅以PC1为例) 实现组内通信、组间间隔 实现网络管理员对所有网络的访问 原理概述 Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道…

【详细解释深度学习图像分类检测评价指标】准确率Accuracy、精确率Precision、召回率Recall、mAP等(一文搞懂,建议收藏)

前言: 😊😊😊欢迎来到本博客😊😊😊 🌟🌟🌟 本专栏主要是记录工作中、学习中关于AI(Deep Learning)相关知识并分享。 😊😊&#x1f…