02-Web应用_架构构建_漏洞_HTTP数据包_代理服务器

Web应用_架构构建_漏洞_HTTP数据包_代理服务器

一、网站搭建前置知识

1.1 域名

  • 是由一串用点分隔的名字组成的,互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。

1.2、子域名

  • 子域名是主域名的下一级域名,通常是大型公司为了满足不同产品或业务需求在主域名基础上发展而来。 子域名一般会根据不同用途在主域名前面加上不同的前缀构成。 子域名根据主域名前面的前缀数量,又可分为二级子域名、三级子域名和多级的子域名。

1.3、DNS

  • 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。

二、web应用环境架构类

  • 理解不同WEB应用组成角色功能架构:
    • 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
      • 开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
      • 程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
      • 中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
      • 数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等
      • 服务器操作系统:Windows系列,Linux系列,Mac系列等
      • 第三方软件:phpmyadmin,v3-ftpd,VNC,ELK,Openssh等

三、web应用安全漏洞分类

  • SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE,反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等

四、web请求返回过程数据包



五、演示案例

5.1、架构-Web应用搭建-域名源码解析

5.2、请求包-新闻回帖点赞-重放数据包

  • 点赞,发现只能点一次:

  • 抓取到点赞的数据包并发送到repeat模块:

  • repeat模块不断 的点击send按钮:

  • 点赞数增加:

5.3、请求包-移动端&PC访问-自定义UA头

  • 移动端访问:

    • UA头:
  • PC访问:

    • UA头:

5.4、返回包-网站文件目录扫描-返回状态码

bash 复制代码
常见状态码
1**:提示信息-表示请求已收到,继续处理
2**:发送成功(200)
3**:重定向(302)
4**:客户端错误
  400.发送请求有语法错误
  401.访问页面没有授权
  403.没有权限访问该页面
  404.没有该页面
5**:服务端错误
  500.服务器内部异常
  504.服务器请求超时,没有返回结果
  • 文件夹 403 存在,404不存在
  • 文件 200 存在,404不存在

5.5、数据包-WAF文件目录扫描-代理服务器

相关推荐
吕彬-前端20 分钟前
使用vite+react+ts+Ant Design开发后台管理项目(五)
前端·javascript·react.js
学前端的小朱23 分钟前
Redux的简介及其在React中的应用
前端·javascript·react.js·redux·store
guai_guai_guai32 分钟前
uniapp
前端·javascript·vue.js·uni-app
bysking1 小时前
【前端-组件】定义行分组的表格表单实现-bysking
前端·react.js
58沈剑1 小时前
80后聊架构:架构设计中两个重要指标,延时与吞吐量(Latency vs Throughput) | 架构师之路...
架构
王哲晓2 小时前
第三十章 章节练习商品列表组件封装
前端·javascript·vue.js
fg_4112 小时前
无网络安装ionic和运行
前端·npm
理想不理想v2 小时前
‌Vue 3相比Vue 2的主要改进‌?
前端·javascript·vue.js·面试
酷酷的阿云2 小时前
不用ECharts!从0到1徒手撸一个Vue3柱状图
前端·javascript·vue.js
微信:137971205872 小时前
web端手机录音
前端