知乎 上海做网站的公司,手机笑话网站源码,住房和城乡建设部网站评估,免费网站建设合同书文章目录 一、Web应用#xff0c;架构搭建二、web应用环境架构类三、web应用安全漏洞分类总结 一、Web应用#xff0c;架构搭建 #网站搭建前置知识 域名#xff0c;子域名#xff0c;dns,http/https,证书等 二、web应用环境架构类 理解不同web应用组成角色功能架构 开发… 文章目录 一、Web应用架构搭建二、web应用环境架构类三、web应用安全漏洞分类总结 一、Web应用架构搭建 #网站搭建前置知识 域名子域名dns,http/https,证书等 二、web应用环境架构类 理解不同web应用组成角色功能架构 开发语言程序源码中间件容器数据库类型服务器操作系统第三方软件等 开发语言asp,php,aspx,jsp,java,python,ruby,go,html,javascript等 程序源码根据开发语言分类应用型分类开源cms分类开发框架分类等 中间件容器相当于支撑网站的运行IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等 数据库类型储存网站/用户信息等Acess,mysql,oracle,db2,Sybase,redis,mongodb等 服务器操作系统windows系列linux系列mac系列等 第三方软件phpmyadmin,vs-ftpd,vnc,elk,openssh等 宝塔里集合里面的各种中间件等 三、web应用安全漏洞分类 Sql注入文件安全RCE执行xss跨站csrf/ssrf/crlf,反序列化逻辑越权未授权访问xxe/xml弱口令安全等----产生于程序源码 web请求返回过程数据包参考 https://www.cnblogs.com/cherrycui/p/10815465.html https://www.jianshu.com/p/558455228c43 模拟器访问和电脑访问不同 User-agent代表了不同客户端的访问可能是手机端或电脑端 逍遥模拟器相当于手机访问 可以利用抓包工具bp实现手机端访问电脑端浏览器。 没设置代理 浏览器-服务器 设置代理 浏览器-代理-服务器 127.0.0.1 8080 Burpsuite 监听127.0.0.1 8080 Burp拦截后选择性的进行丢弃或放行 在虚拟机上使用burpsuite时要设置代理为本地的ip地址如192.168.1.1 8080不能使用127.0.01 8080因为虚拟机作为了一个独立的系统而存在找的话相当于在它虚拟系统里寻找所以经常会导致抓包失败。 状态码判断文件是否存在 文件夹判断是403存在404不存在 文件200存在404不存在 3xx跳转 处置过程 判断可有可无 5xx 内部错误 服务器问题 判断可有可无 查询iphttps://www.ip138.com/ 可利用买代理(相当于远程服务器)解决拉黑ip和封ip 总结 冲