Web应用环境架构类

  • 开发语言:php、java、python、ASP、ASPX等
  • 程序源码:用的人多了,就成CMS了。
  • 中间件容器:IIS、Apache、Nginx、Tomcat、Weblogic、Jboos、glasshfish等
  • 数据库类型:Access、Mysql、Mssql、Oracle、Redis、MongoDB等.
  • 服务器类型:windows、linux、mac系列
  • 第三方软件:phpmyadmin、vs-ftpd等

建站步骤:

  1. 买一个域名、服务器;
  2. 使用宝塔一键化搭建网站。

    一个域名绑定一个IP下的某个目录,一个IP下可以有多个网站。

web应用安全漏洞分类

  • SQL注入
  • 文件安全
  • RCE执行
  • XSS跨站
  • CSRF/SSRF/CRLF
  • 反序列化
  • 逻辑越权
  • 未授权访问
  • XXE/XML
  • 弱口令安全

其他

  1. 电脑端和手机端显示的网页不一样的原因:二者访问时,发送的请求包不一样。

  2. 模拟器抓包:模拟器相当于重开了一个设备,跟主机的关系是类似于vmware中的NAT连接,所以wifi那儿设置代理地址是本机的地址及相应的端口,然后burp监听本机IP及相应端口。

  3. web请求返回过程数据包参考:web请求参考资料1、web请求参考资料2

  4. HTTP响应码相关知识:

    • 文件夹存在响应码:403,文件夹不存在响应码:404
    • 文件存在响应码:200,文件不存在响应码:404
    • 3XX:跳转,判断可有可无(不能放过);
    • 5XX:内部错误、服务器问题,判断可有可无(不能放过)。
  5. 远程代理网站:快代理