02-Web应用_架构构建_漏洞_HTTP数据包_代理服务器

Web应用_架构构建_漏洞_HTTP数据包_代理服务器

一、网站搭建前置知识

1.1 域名

  • 是由一串用点分隔的名字组成的,互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。

1.2、子域名

  • 子域名是主域名的下一级域名,通常是大型公司为了满足不同产品或业务需求在主域名基础上发展而来。 子域名一般会根据不同用途在主域名前面加上不同的前缀构成。 子域名根据主域名前面的前缀数量,又可分为二级子域名、三级子域名和多级的子域名。

1.3、DNS

  • 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。

二、web应用环境架构类

  • 理解不同WEB应用组成角色功能架构:
    • 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
      • 开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
      • 程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
      • 中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
      • 数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等
      • 服务器操作系统:Windows系列,Linux系列,Mac系列等
      • 第三方软件:phpmyadmin,v3-ftpd,VNC,ELK,Openssh等

三、web应用安全漏洞分类

  • SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE,反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等

四、web请求返回过程数据包



五、演示案例

5.1、架构-Web应用搭建-域名源码解析

5.2、请求包-新闻回帖点赞-重放数据包

  • 点赞,发现只能点一次:

  • 抓取到点赞的数据包并发送到repeat模块:

  • repeat模块不断 的点击send按钮:

  • 点赞数增加:

5.3、请求包-移动端&PC访问-自定义UA头

  • 移动端访问:

    • UA头:
  • PC访问:

    • UA头:

5.4、返回包-网站文件目录扫描-返回状态码

bash 复制代码
常见状态码
1**:提示信息-表示请求已收到,继续处理
2**:发送成功(200)
3**:重定向(302)
4**:客户端错误
  400.发送请求有语法错误
  401.访问页面没有授权
  403.没有权限访问该页面
  404.没有该页面
5**:服务端错误
  500.服务器内部异常
  504.服务器请求超时,没有返回结果
  • 文件夹 403 存在,404不存在
  • 文件 200 存在,404不存在

5.5、数据包-WAF文件目录扫描-代理服务器

相关推荐
机器视觉知识推荐、就业指导14 分钟前
QML 批量创建模块 【Repeater】 组件详解
前端·c++·qml
lmryBC4920 分钟前
golang接口-interface
java·前端·golang
慕斯策划一场流浪26 分钟前
fastGPT—nextjs—mongoose—团队管理之团队列表api接口实现
开发语言·前端·javascript·fastgpt env文件配置·fastgpt团队列表接口实现·fastgpt团队切换api·fastgpt团队切换逻辑
久违の欢喜1 小时前
《云端变革:云计算重塑现代企业架构的实践之路》
架构·云计算
LaoZhangAI1 小时前
【2025最新】Claude免费API完全指南:无需信用卡,中国用户也能用
前端
过客随尘1 小时前
从设计架构角度对比二进制序列化与JSON序列化
架构
hepherd1 小时前
Flask学习笔记 - 模板渲染
前端·flask
LaoZhangAI1 小时前
【2025最新】Manus邀请码免费获取完全指南:5种稳定渠道+3个隐藏方法
前端
经常见1 小时前
浅拷贝与深拷贝
前端