02-Web应用_架构构建_漏洞_HTTP数据包_代理服务器
Web应用_架构构建_漏洞_HTTP数据包_代理服务器
- 一、网站搭建前置知识
- 1.1 域名
- 1.2、子域名
- 1.3、DNS
- 二、web应用环境架构类
- 三、web应用安全漏洞分类
- 四、web请求返回过程数据包
- 五、演示案例
- 5.1、架构-Web应用搭建-域名源码解析
- 5.2、请求包-新闻回帖点赞-重放数据包
- 5.3、请求包-移动端&PC访问-自定义UA头
- 5.4、返回包-网站文件目录扫描-返回状态码
- 5.5、数据包-WAF文件目录扫描-代理服务器
一、网站搭建前置知识
1.1 域名
- 是由一串用点分隔的名字组成的,互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。
1.2、子域名
- 子域名是主域名的下一级域名,通常是大型公司为了满足不同产品或业务需求在主域名基础上发展而来。 子域名一般会根据不同用途在主域名前面加上不同的前缀构成。 子域名根据主域名前面的前缀数量,又可分为二级子域名、三级子域名和多级的子域名。
1.3、DNS
- 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
二、web应用环境架构类
- 理解不同WEB应用组成角色功能架构:
- 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
- 开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等
- 程序源码:根据开发语言分类;应用类型分类;开源CMS分类;开发框架分类等
- 中间件容器:IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等
- 数据库类型:Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等
- 服务器操作系统:Windows系列,Linux系列,Mac系列等
- 第三方软件:phpmyadmin,v3-ftpd,VNC,ELK,Openssh等
- 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等
三、web应用安全漏洞分类
- SQL注入,文件安全,RCE执行,XSS跨站,CSRE/SSRE/CRLE,反序列化,逻辑越权,未授权访问,XXE/XML,弱口令安全等
四、web请求返回过程数据包
- https://www.jianshu.com/p/558455228c43
- https://www.cnblogs.com/cherrycui/p/10815465.html
- 请求数据包,请求方法,请求体,响应包,响应头,状态码,代理服务器等
- Request,Response,User-Agent,Cookie,Server,Content-Length等
五、演示案例
5.1、架构-Web应用搭建-域名源码解析
5.2、请求包-新闻回帖点赞-重放数据包
-
点赞,发现只能点一次:
-
抓取到点赞的数据包并发送到
repeat模块:
-
在
repeat模块不断的点击send按钮:
-
点赞数增加:
5.3、请求包-移动端&PC访问-自定义UA头
-
移动端访问:
- UA头:
- UA头:
-
PC访问:
- UA头:
- UA头:
5.4、返回包-网站文件目录扫描-返回状态码
常见状态码
1**:提示信息-表示请求已收到,继续处理
2**:发送成功(200)
3**:重定向(302)
4**:客户端错误400.发送请求有语法错误401.访问页面没有授权403.没有权限访问该页面404.没有该页面
5**:服务端错误500.服务器内部异常504.服务器请求超时,没有返回结果
- 文件夹 403 存在,404不存在
- 文件 200 存在,404不存在
5.5、数据包-WAF文件目录扫描-代理服务器
相关文章:
02-Web应用_架构构建_漏洞_HTTP数据包_代理服务器
Web应用_架构构建_漏洞_HTTP数据包_代理服务器 一、网站搭建前置知识1.1 域名1.2、子域名1.3、DNS二、web应用环境架构类三、web应用安全漏洞分类四、web请求返回过程数据包 五、演示案例5.1、架构-Web应用搭建-域名源码解析5.2、请求包-新闻回帖点赞-重放数据包5.3、请求包-移…...
使用flink-cdc-sqlserver出现错误,需要批量开启sqlserver表cdc模式,监听表变化
docker安装 docker run -e "ACCEPT_EULAY" -e "MSSQL_SA_PASSWORDZcyc123456" -p 1433:1433 --name sqlserver -d mcr.microsoft.com/mssql/server:2017-latest开启库cdc模式 选择你自己的数据库,执行以下sql语句 EXEC sys.sp_cdc_enable_db…...
ffmpeg的使用,安装,抽帧,加水印,截图,生成gif,格式转换,抓屏等
实际使用中总结的关于ffmpeg对视频的处理的记录文档 具体信息: http://ffmpeg.org/download.html 官网下载ffmpeg 关于ffmpeg的安装详细步骤和说明 装ffmpeg 方式,Linux和windows下的 http://bbs.csdn.net/topics/390519382 php 调用ffmpeg , http://bbs.csdn.net/t…...
游戏视频录制软件推荐,打造专业电竞视频(3款)
随着游戏产业的快速发展,越来越多的玩家开始关注游戏视频录制软件。一款好的录制软件不仅可以帮助玩家记录游戏中的精彩瞬间,还可以让其与他人分享自己的游戏体验。接下来,我们将介绍三款热门的游戏视频录制软件,并对其进行详细的…...
两种方式实现文本超出指定行数显示展开收起...
需要实现这样一个功能 默认高度下文本超出隐藏,点击展开可查看所有内容,点击收起可折叠 方法一:通过html和css实现 代码部分 html:<div className"expand-fold"><input id"check-box" type"checkbox&qu…...
Docker进阶篇-Docker网络
一、描述 1、docker不启动,默认网络情况 查看网卡情况使用,ifconfig或者ip addr ens33:本机网卡 lo:本机回环网络网卡 virbr0:在CentoS 7的安装过程中如果有选择相关虚拟化的的服务安装系统后,启动网卡时会发现 …...
用两个队列实现栈
这里写目录标题 用两个队列实现栈题目描述思路:结构逻辑图如下完整解析代码 用两个队列实现栈 leetcode 题目描述 思路: 准备两个队列,第一个队列依次出队到只剩一个数据时停止,将已出队的数据依次入队到第二个队列,…...
【数据分享】1929-2023年全球站点的逐年降雪深度数据(Shp\Excel\免费获取)
气象数据是在各项研究中都经常使用的数据,气象指标包括气温、风速、降水、能见度等指标,说到气象数据,最详细的气象数据是具体到气象监测站点的数据! 之前我们分享过1929-2023年全球气象站点的逐年平均气温数据、逐年最高气温数据…...
Windows11安装运行Linux(Ubuntu)
一、安装windows支持 输入windows打开界面 选择虚拟机监控程序平台、适用于linux的子系统、虚拟机平台 在 Windows 系统中,"虚拟机平台"和"虚拟机监控程序平台"是两个与虚拟化相关的功能,但它们各自有着不同的作用和用途。 虚拟机…...
钉钉群机器人-发送群消息
1、钉钉群创建机器人 添加完成后,要记住 Webhook 路径; 2、机器人接入文档网址 自定义机器人接入 - 钉钉开放平台 3、JAVA代码 import com.dingtalk.api.DefaultDingTalkClient; import com.dingtalk.api.DingTalkClient; import com.dingtalk.api.re…...
OceanBase 4.2.2 GA 发布,全新特性快速预览!
在 2023 年度发布会上,OceanBase 沿着“一体化”产品战略思路,发布了一体化数据库的首个长期支持版本 4.2.1 LTS。作为 4.0 系列的首个 LTS 版本,该版本的定位是支撑客户关键业务稳定长久运行,我们非常认真的打磨了这个版本&#…...
IP代理類型詳解 | 基於網路協議、匿名性、IP來源
線上代理、HTTP代理、Socks4/5代理、動態住宅IP代理、專用代理、共用代理、開放代理、匿名代理、反向代理……是否令你感到困惑?閱讀本片文章瞭解所有。可以將代理視為你與所需網站Web伺服器之間的中間人。它接收你的請求,然後將請求發送到Web伺服器。然…...
uniapp中使用EelementPlus
uniapp的强大是非常震撼的,一套代码可以编写到十几个平台。这个可以在官网上进行查询uni-app官网。主要还是开发小型的软件系统,使用起来非常的方便、快捷、高效。 uniapp中有很多自带的UI,在创建项目的时候,就可以自由选择。而E…...
Swift Vapor 教程(查询数据、插入数据)
上一篇简单写了 怎么创建 Swift Vapor 项目以及在开发过程中使用到的软件。 这一篇写一个怎么在创建的项目中创建一个简单的查询数据和插入数据。 注:数据库配置比较重要 先将本地的Docker启动起来,用Docker管理数据库 将项目自己创建的Todo相关的都删掉…...
QT自用,勿点
自己有接近2年的前端经验(html,js,jq,vue之类的),但是一直对QT不是很熟悉,之前零散的学了一些,但是平时不怎么做界面,这几天系统的学一下。 1.7 创建第一个Qt项目_哔哩哔哩_bilibili 文档: *Qt中的信号槽…...
计组学习笔记2024/2/5
记录每天学到了什么,同时在挪移图片过程中再次理解加深印象 学计算机最重要的是理解,而不是整齐的笔记,不要主次搞混,所以以后记笔记的模式也要改一下(主要还是自己太菜,还达不到一边做到整齐笔记的同时还能够有时间做到理解,所以只能舍弃整齐时间保留理解时间)(不过如果有现成…...
Redis(三)(实战篇)
查漏补缺 1.spring 事务失效 有时候我们需要在某个 Service 类的某个方法中,调用另外一个事务方法,比如: Service public class UserService {Autowiredprivate UserMapper userMapper;public void add(UserModel userModel) {userMapper.…...
MacOS系统电脑远程桌面控制windows系统电脑【内网穿透】
最近,我发现了一个超级强大的人工智能学习网站。它以通俗易懂的方式呈现复杂的概念,而且内容风趣幽默。我觉得它对大家可能会有所帮助,所以我在此分享。点击这里跳转到网站。 文章目录 1. 测试本地局域网内远程控制1.1 Windows打开远程桌面1…...
Verilog实现2进制码与BCD码的互相转换
1、什么是BCD码? BCD码是一种2进制的数字编码形式,用4位2进制数来表示1位10进制中的0~9这10个数。这种编码技术,最常用于会计系统的设计里,因为会计制度经常需要对很长的数字做准确的计算。相对于一般的浮点式记数法,…...
 C. Jellyfish and Green Apple (思维))
Codeforces Round 901 (Div. 2) C. Jellyfish and Green Apple (思维)
题目链接 代码 (判空): #include<bits/stdc.h> using namespace std; #define endl "\n" typedef long long ll; typedef pair<int, int> PII; typedef pair<PII, int> PIII; const int inf 0x3f3f3f3f; const ll infinf 0x3f3f3f3f3f3f3f3f;/…...
){kind=tracking}
AgentCPM-Report镜像免配置方案:Pixel Epic一键部署教程(含Streamlit定制)
AgentCPM-Report镜像免配置方案:Pixel Epic一键部署教程(含Streamlit定制) 1. 像素史诗:当科研遇上RPG冒险 想象一下,撰写专业研究报告的过程变成了一场像素风格的RPG冒险。这就是Pixel Epic带来的独特体验——它将A…...
)
TDEngine-OSS-3.3.7.5开源版高可用部署实战(单节点快速入门与三副本集群搭建详解)
1. TDEngine开源版入门:为什么选择它? 如果你正在寻找一个高性能、开源的时序数据库,TDEngine绝对值得考虑。这个由涛思数据推出的产品,专门为物联网、工业互联网等场景设计,能够轻松处理海量时间序列数据。我最近在实…...
ClickHouse可视化工具大比拼:Tabix vs DBeaver,哪个更适合你?
ClickHouse可视化工具深度评测:Tabix与DBeaver的实战对比 当你面对ClickHouse海量数据时,一个得心应手的可视化工具能让你事半功倍。作为目前最流行的两款ClickHouse客户端,Tabix和DBeaver各有拥趸,但究竟哪款更适合你的工作场景…...
COMSOL多场耦合地应力平衡开挖与衬砌支护案例:带衬砌与钢衬支护的实践研究
COMSOL 地应力平衡后开挖及衬砌支护案例(带衬砌、钢衬)隧道开挖模拟最头疼的就是初始地应力场的平衡问题。前些天用COMSOL折腾了个带衬砌支护的案例,今天把关键步骤拆开说说。咱们直接从地应力平衡开始,到开挖后钢衬安装一气呵成。…...
2026届最火的五大降AI率助手推荐
Ai论文网站排名(开题报告、文献综述、降aigc率、降重综合对比) TOP1. 千笔AI TOP2. aipasspaper TOP3. 清北论文 TOP4. 豆包 TOP5. kimi TOP6. deepseek 减低AIGC检测率要从多方面入手,首先,调整句式结构,避开过…...
3分钟上手VSCode Mermaid Preview:在IDE中实现可视化图表实时预览
3分钟上手VSCode Mermaid Preview:在IDE中实现可视化图表实时预览 【免费下载链接】vscode-mermaid-preview Previews Mermaid diagrams 项目地址: https://gitcode.com/gh_mirrors/vs/vscode-mermaid-preview 还在为编写Mermaid图表时需要在代码编辑器与预览…...
Plumbum部署指南:生产环境配置、安全与监控完整方案
Plumbum部署指南:生产环境配置、安全与监控完整方案 【免费下载链接】plumbum Plumbum: Shell Combinators 项目地址: https://gitcode.com/gh_mirrors/pl/plumbum Plumbum作为Python Shell Combinators库,为生产环境提供了强大的命令行执行和远程…...
Buildroot工具链内核版本号快速查询:3步搞定LINUX_VERSION_CODE解析
Buildroot工具链内核版本号快速查询:3步搞定LINUX_VERSION_CODE解析 在嵌入式开发中,工具链与内核版本的匹配问题常常让开发者头疼不已。想象一下这样的场景:你花费数小时编译的代码突然报错,仅仅因为工具链使用的内核头文件版本与…...
Verilog中补码转换的常见误区与优化技巧
Verilog中补码转换的常见误区与优化技巧 在数字电路设计中,补码表示法因其在加减运算中的天然优势而成为有符号数处理的首选方案。许多Verilog初学者在实现补码转换时,往往陷入一些看似简单却影响深远的陷阱。本文将深入剖析这些隐藏的"坑"&am…...
ENVI实战:利用传感器波谱响应函数实现光谱曲线精准重采样
1. 为什么需要光谱重采样? 在遥感数据分析中,我们经常会遇到一个头疼的问题:不同传感器采集的光谱数据分辨率不一致。比如实验室用光谱仪测量的叶片反射率可能有上千个波段,而Landsat-8卫星只能获取11个波段的数据。这就好比用高清…...