Web安全之web基础目 录本文是学习极客时间——《Web 安全攻防实战》的笔记小结1、前端开发1.1 1.2 CSS1.3 JavaScript2 WebApp2.1 从浏览器输入网址到看到网页过程2.2 常见的 Web 服务器2.3 框架3 Web安全总览3.1 协议基础3.2 Web安全攻防要点1、前端开发前端开发是创建Web页面或App等前端界面呈现给用户的过程。前端使用的语言有HTMLCSSJavaScript.1.1 是什么HTML HyperText Markup Language即超文本标记语言是用来构建网页的一种语言。HTML是一整套标记标签构成的标记语言而非编程语言。HTML用于承载网页的内容文本、图片、语音、视频。使用HTML标记标签与纯文本按规则构建的文档通常也称为网页。网页结构HTML标签/元素/属性1.2 CSS层叠样式表英文全称Cascading Style Sheets是一种用来表现HTML标准通用标记语言的一个应用或XML标准通用标记语言的一个子集等文件样式的计算机语言。CSS 能够对网页中元素位置的排版进行像素级精确控制支持几乎所有的字体字号样式拥有对网页对象和模型样式编辑的能力。1.3 JavaScriptJavaScript是什么JavaScript是可插入 HTML 页面可以由绝大多数现代浏览器执行的轻量级的编程语言。JavaScript 基于原型编程、多范式的动态脚本语言并且支持面向对象、命令式和声明式如函数式编程风格。它和Web安全有什么关系作为一种脚本语言由它引申出的 XSS 攻击文件上传漏洞常年占据 OWASP Top10。Node.js简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境基于 Google 的 V8 引擎V8 引擎执行 Javascript 的速度非常快性能非常好。2 WebAppWeb App或Web应用程序运行于网络和标准浏览器上基于网页技术开发实现特定功能的应用。前端HTMLCSSJavaScript后端JavaPythonPHP数据库MySQLOracleMongoDB容器Windows(IIS)Linux(Nginx, Apache)协议TCPDNSHTTPHTTPS2.1 从浏览器输入网址到看到网页过程客户输入URLDNS解析URL得出IP地址根据IP地址找出对应服务器客户机通过TCP/IP协议建立到Web服务器的TCP链接客户机向Web服务器发送HTTP请求报文请求服务器里资源的资源文档Web服务器接收到客户机的HTTP请求报文然后向客户机发出HTTP响应报文如果请求的是HTML文档Web服务器会将对应目录下相应的HTML文档打开然后将文档的响应内容发送给客户机。如果请求的是PHP文件那么Web服务器自身是不能处理PHP动态语言脚本文件的然后就会寻找并委托PHP应用服务器PHP应用服务器会将Web服务器请求的PHP文件解析成HTML静态代码然后将HTML静态代码发送给Web服务器最后Web服务器会将HTML静态代码发送客户机。如果请求的资源是访问数据库则Web服务器会通过应用服务器去访问数据库。2.2 常见的 Web 服务器Apache HTTP Server简称Apache是Apache软件基金会的一个开放源代码的网页服务器软件可以在大多数电脑操作系统中运行由于其跨平台和安全性被广泛使用是最流行的Web服务器软件之一。Nginx发音同engine x是一个网页服务器它能反向代理HTTP, HTTPS, SMTP, POP3, IMAP的协议链接以及一个负载均衡器和一个HTTP缓存。Nginx是一款面向性能设计的HTTP服务器相较于Apache、lighttpd具有占有内存少稳定性高等优势。IIS是Internet Information Server的缩写。它是微软公司主推的服务器。Lighttpd是一个德国人领导的开源Web服务器软件,具有非常低的内存开销、CPU占用率低、效能好以及丰富的模块等特点。Tomcat是Apache软件基金会的Jakarta项目中的一个核心项目由Apache、Sun和其他一些公司及个人共同开发而成。Tomcat技术先进、性能稳定而且免费因而深受Java爱好者的喜爱并得到了部分软件开发商的认可成为目前比较流行的Web应用服务器。2.3 框架Web应用框架Web application framework是一种开发框架用来支持动态网站、网络应用程序及网络服务的开发。其类型有基于请求的和基于组件的两种框架。前端jQuery、Bootstrap、React.js、Vue.js后端Spring MVC、Django、Flask、Tornado3 Web安全总览3.1 协议基础HTTP协议定义了Web客户端如何从Web服务器请求Web页面以及服务器如何把Web页面传送给客户端。• 客户端连接到Web服务器一个HTTP客户端通常是浏览器与Web服务器的HTTP端口默认为80建立一个TCP套接字连接。• 发送HTTP请求通过TCP套接字客户端向Web服务器发送一个文本的请求报文一个请求报文由请求行、请求头部、空行和请求数据 4部分组成。• 服务器接受请求并返回HTTP响应Web服务器解析请求定位请求资源。服务器将资源复本写到TCP套接字由客户端读取。一个响应由状态行、响应头部、空行请求空行和响应数据请求体4部分组成。• 释放连接TCP连接若connection 模式为close则服务器主动关闭TCP连接客户端被动关闭连接释放TCP连接。若connection 模式为keepalive则该连接会保持一段时间在该时间内可以继续接收请求。• 客户端浏览器解析HTML内容GET vs POST从参数的传递方面来看,GET请求的参数是直接拼接在地址栏URL的后面,而POST请求的参数是放到请求体里面的。从长度限制方面来看,GET请求有具体的长度限制,一般不超过1024KB,而POST理论上没有,但是浏览器一般有个界限。从安全方面来看,GET请求相较于POST,因为数据都是明文显示在URL上面的,所以安全和私密性不如POST。从本质上来说GET和POST都是TCP连接并无实质的区别。但是由于HTTP/浏览器的限定导致它们在应用过程中体现出了一些不同。GET产生一个数据包POST产生两个数据包。对于GET请求浏览器会把http header 和 data 一并发出去,服务器响应200(返回数据)。而对于POST浏览器先发送header服务器响应100 continue浏览器再发送data服务器响应200 ok。状态码3.2 Web安全攻防要点Web安全根本在于Web应用在实现HTTP协议的过程中没有做足够充足强大的约束导致攻击者能够利用其中的薄弱环节进行攻击。前端输入不可信安全学习交流群687398569《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取7ae8ac36b2a650.png)以上资料如何领取文章来自网上侵权请联系博主
Web安全之web基础
Web安全之web基础目 录本文是学习极客时间——《Web 安全攻防实战》的笔记小结1、前端开发1.1 1.2 CSS1.3 JavaScript2 WebApp2.1 从浏览器输入网址到看到网页过程2.2 常见的 Web 服务器2.3 框架3 Web安全总览3.1 协议基础3.2 Web安全攻防要点1、前端开发前端开发是创建Web页面或App等前端界面呈现给用户的过程。前端使用的语言有HTMLCSSJavaScript.1.1 是什么HTML HyperText Markup Language即超文本标记语言是用来构建网页的一种语言。HTML是一整套标记标签构成的标记语言而非编程语言。HTML用于承载网页的内容文本、图片、语音、视频。使用HTML标记标签与纯文本按规则构建的文档通常也称为网页。网页结构HTML标签/元素/属性1.2 CSS层叠样式表英文全称Cascading Style Sheets是一种用来表现HTML标准通用标记语言的一个应用或XML标准通用标记语言的一个子集等文件样式的计算机语言。CSS 能够对网页中元素位置的排版进行像素级精确控制支持几乎所有的字体字号样式拥有对网页对象和模型样式编辑的能力。1.3 JavaScriptJavaScript是什么JavaScript是可插入 HTML 页面可以由绝大多数现代浏览器执行的轻量级的编程语言。JavaScript 基于原型编程、多范式的动态脚本语言并且支持面向对象、命令式和声明式如函数式编程风格。它和Web安全有什么关系作为一种脚本语言由它引申出的 XSS 攻击文件上传漏洞常年占据 OWASP Top10。Node.js简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境基于 Google 的 V8 引擎V8 引擎执行 Javascript 的速度非常快性能非常好。2 WebAppWeb App或Web应用程序运行于网络和标准浏览器上基于网页技术开发实现特定功能的应用。前端HTMLCSSJavaScript后端JavaPythonPHP数据库MySQLOracleMongoDB容器Windows(IIS)Linux(Nginx, Apache)协议TCPDNSHTTPHTTPS2.1 从浏览器输入网址到看到网页过程客户输入URLDNS解析URL得出IP地址根据IP地址找出对应服务器客户机通过TCP/IP协议建立到Web服务器的TCP链接客户机向Web服务器发送HTTP请求报文请求服务器里资源的资源文档Web服务器接收到客户机的HTTP请求报文然后向客户机发出HTTP响应报文如果请求的是HTML文档Web服务器会将对应目录下相应的HTML文档打开然后将文档的响应内容发送给客户机。如果请求的是PHP文件那么Web服务器自身是不能处理PHP动态语言脚本文件的然后就会寻找并委托PHP应用服务器PHP应用服务器会将Web服务器请求的PHP文件解析成HTML静态代码然后将HTML静态代码发送给Web服务器最后Web服务器会将HTML静态代码发送客户机。如果请求的资源是访问数据库则Web服务器会通过应用服务器去访问数据库。2.2 常见的 Web 服务器Apache HTTP Server简称Apache是Apache软件基金会的一个开放源代码的网页服务器软件可以在大多数电脑操作系统中运行由于其跨平台和安全性被广泛使用是最流行的Web服务器软件之一。Nginx发音同engine x是一个网页服务器它能反向代理HTTP, HTTPS, SMTP, POP3, IMAP的协议链接以及一个负载均衡器和一个HTTP缓存。Nginx是一款面向性能设计的HTTP服务器相较于Apache、lighttpd具有占有内存少稳定性高等优势。IIS是Internet Information Server的缩写。它是微软公司主推的服务器。Lighttpd是一个德国人领导的开源Web服务器软件,具有非常低的内存开销、CPU占用率低、效能好以及丰富的模块等特点。Tomcat是Apache软件基金会的Jakarta项目中的一个核心项目由Apache、Sun和其他一些公司及个人共同开发而成。Tomcat技术先进、性能稳定而且免费因而深受Java爱好者的喜爱并得到了部分软件开发商的认可成为目前比较流行的Web应用服务器。2.3 框架Web应用框架Web application framework是一种开发框架用来支持动态网站、网络应用程序及网络服务的开发。其类型有基于请求的和基于组件的两种框架。前端jQuery、Bootstrap、React.js、Vue.js后端Spring MVC、Django、Flask、Tornado3 Web安全总览3.1 协议基础HTTP协议定义了Web客户端如何从Web服务器请求Web页面以及服务器如何把Web页面传送给客户端。• 客户端连接到Web服务器一个HTTP客户端通常是浏览器与Web服务器的HTTP端口默认为80建立一个TCP套接字连接。• 发送HTTP请求通过TCP套接字客户端向Web服务器发送一个文本的请求报文一个请求报文由请求行、请求头部、空行和请求数据 4部分组成。• 服务器接受请求并返回HTTP响应Web服务器解析请求定位请求资源。服务器将资源复本写到TCP套接字由客户端读取。一个响应由状态行、响应头部、空行请求空行和响应数据请求体4部分组成。• 释放连接TCP连接若connection 模式为close则服务器主动关闭TCP连接客户端被动关闭连接释放TCP连接。若connection 模式为keepalive则该连接会保持一段时间在该时间内可以继续接收请求。• 客户端浏览器解析HTML内容GET vs POST从参数的传递方面来看,GET请求的参数是直接拼接在地址栏URL的后面,而POST请求的参数是放到请求体里面的。从长度限制方面来看,GET请求有具体的长度限制,一般不超过1024KB,而POST理论上没有,但是浏览器一般有个界限。从安全方面来看,GET请求相较于POST,因为数据都是明文显示在URL上面的,所以安全和私密性不如POST。从本质上来说GET和POST都是TCP连接并无实质的区别。但是由于HTTP/浏览器的限定导致它们在应用过程中体现出了一些不同。GET产生一个数据包POST产生两个数据包。对于GET请求浏览器会把http header 和 data 一并发出去,服务器响应200(返回数据)。而对于POST浏览器先发送header服务器响应100 continue浏览器再发送data服务器响应200 ok。状态码3.2 Web安全攻防要点Web安全根本在于Web应用在实现HTTP协议的过程中没有做足够充足强大的约束导致攻击者能够利用其中的薄弱环节进行攻击。前端输入不可信安全学习交流群687398569《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取7ae8ac36b2a650.png)以上资料如何领取文章来自网上侵权请联系博主
