网易云课程

1.1web简介
①web发展史
1.0 个人网站、门户网站,不能添加和修改站点信息(SQL注入,上传漏洞为主)
2.0可以发表文章,与浏览者互动(XSS为主)
②web组成
浏览器(常见的客户端或者叫前段)钓鱼,暗链,XSS,点击劫持,CSRF,URL
数据库交互(服务端或者叫后端)SQK注入,命令注入,文件上传,文件包含,暴力**
③web过程
DNS解析获取IP 2.找到WEB服务器,通过HTTP协议通信,发送HTTP请求,返回HTTP响应
1.2web通信
①Url介绍
Url 站点名称,支持很多协议。
作用 定位服务器资源,web服务器的收货地址,
格式 schema://host[:port#}/path/…/[?query-string][#anchor]
②Http
http默认80端口 超文本传输协议,应用最广泛的网络协议。
(快递小哥进入小区的通行证)浏览器相当于快递小哥,浏览器通过get方式发送请求,cookie相当于凭证;回应:200+hengwen 报文
HTTP的报文:起始行,结尾,身体
请求形式 Head,delete,put,options,referer(统计该请求的来源:百度,chrome)限制别人的使用,防止盗链,凡是CSRF漏洞

1.2web开发入门
①HTML
一、概述
js动态效果,更好的浏览效果。 CSS样式完全消失
HTML超文本标记语言(web的基础,HTML可加载图片动画)
HTML的结构和语法
head 和body组成;开始标签起始

,闭合

二、HTML元素

注释 (不区分大小写)

图像
<img= src="
http://study.163.com/res/images/logos.png"
Width=“500” height=“100” />

链接

表单

内联框架

三、javascript
DOM BOM
1.将代码转换成DOM树;作用:通过gavascript DOM对HTML进行开发

2.javascript(脚本语言)
①DOM BOM
DOME文档对象类型,主要是对于文本的操作,包含获取元素,修改样式,操作元素,大部分操作都是DOM操作,且大部分操作可兼容。
DOM的本质是连接web语言和编程语言,
BOM浏览器对象模型,包括浏览器的一些操作,如windows.open、window.alert、window.colse,兼容性较差,主要包括:获取浏览器的详细信息 window.navigator.userAgent
BOM的本质是连接l浏览器和编程语言
②运行条件

中间

③语法
遵循ECMA规范;借用C Java④⑤⑥⑦
④javascript功能
动画;(源代码已经完成的情况下) (控制台下执行)
获取元素内容;修改HTML内容;创建动态HTML元素内容

document.write(Date());页面增加互动
访问和操作就是JavaScript DOM操作,且为标准方法
⑤BOM
警告弹窗 alert() 确认弹窗 confirm()
提示弹窗 prompt()
如何从浏览器获取客cookie(用户登陆成功网站发送的凭证)
取 document.cookie ;
写入cookie document.cookie='写入值‘)
获取屏幕信息
(window.)screen
URL
(window.)location
操作浏览器窗口
window.open(“http://www.icom”)
网易云课程
第二章 第三节web服务端环境

1.作用:数据终端

2.变化:
静态页面时期(后缀 .html .htl)
动态页面时期(脚本驱动,php脚本语言解析成html服务器,后缀 。php)(语言解释程序 web服务器 数据库 )常见架构

3.流行架构
操作系统 web服务 解释执行环境 数据库服务

4.搭建简易的web服务端

Windows+Apache+PHP+mysql
1.下载安装软件phpstydy2016
2.使用phpstydy2016(root)
5.Mysql服务
Mysql命令行
6.基于本地访问时
本地主机 127.0.0.1
本机IP 域名

第三章web安全工具
->浏览器和浏览器拓展初级
->安全测试之浏览器入门
第一节
主要内容:浏览器安全特性与设置 安全测试常用功能
(不同浏览器安全特性存在差异 可能导致不同浏览器触发效果不同)
一、安全测试常用功能
1.清理缓存 手动设置-隐身模式
2.如何查看网页源代码 想要的元素鼠标右键-检查;小箭头;
3.查看网络数据包 可以查看到当前网络的请求

第二节
主要内容:如何获取浏览器插件-常用插件介绍
1.插件是什么?插件能干什么?
能够增强或丰富原有浏览器功能的小程序
2.具体插件功能讲解
Firebug F12工具栏更条理清晰
HackBar 为Firefox浏览器提供快速构造HTTP 请求及多种编码转换的功能
Advances Cookie Manager 编辑Cookie类插件 为浏览器提供快速修改、增加、删除Cookie
Procy Switcher 结合抓包工具

Firebug HTML 元素查看,网络数据监控
HackBar 分割URL参数,编码,
Tamper Data 截包,看包,抓包,改包
Proxy Switcher

第二节 暴力**
确认**范围,确认**动作,确认**结果
命令注入
命令 操作系统的命令
1.是否调用系统命令

2.确定可控的字段 ping 127.0.0.1 固定字段 ping+空格

3.确定命令语句
&& 、&、|、||
&& A执行成功才会执行B
& 简单的拼接,AB并无制约关系
| A的输出作为B 的输入
|| A执行失败才会执行B

第三节 暴力**
过程:用户在浏览器,已登录的web应用上进行非本意的操作;
攻击者欺骗 让其以受害者的名义,执行自己想要的操作

相关文章:

  • 2021-06-26
  • 2021-08-01
  • 2021-08-30
  • 2021-06-06
  • 2021-11-26
  • 2021-04-08
  • 2021-10-17
  • 2021-07-29
猜你喜欢
  • 2022-01-11
  • 2021-09-16
  • 2022-12-23
  • 2021-12-22
  • 2021-10-09
  • 2022-02-15
  • 2021-09-29
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode