WEB安全- WEB基础

WEB

1.0

• 静态页面

  • 只有前端代码
  • 主要是通过HTML语言编写
  • 使用大量JS代码，导致网络速度打开慢
  • 单向访问，无后端

• 用户到浏览器到搜索数据

• 安全问题

  • SQL注入
  • 文件包含
  • 命令执行
  • 上传漏洞
  • WebShell

2.0

• 动态页面

  • 有后端
  • 可以连接服务器

• 用户于网站交互

• 安全问题

  • 钓鱼攻击
  • URL跳转
  • 框架漏洞
  • 逻辑漏洞
  • XSS
  • CSRF

URL

格式

• protocol 协议，常用的协议是http、https、ftp等
• hostname 主机地址，可以是域名，也可以是IP地址
• port 端口 http协议默认端口是：80端口
• path 路径 网络资源在服务器中的指定路径
• parameter 参数 如果要向服务器传入参数，在这部分输入
• query 查询字符串 如果需要从服务器那里查询内容，在这里编辑，可有多个参数，用“&”符号隔开，每个参数的名和值用=”符号隔开

端口

• http:80
• https:443
• mysql:3306

HTML基础

标签

• 双标签

  • • 标题

      • —

• 单标签

  • • 换行

  • ---

    • 水平分割线

• 嵌套关系

• 并列关系

Web访问流程

HTTP

• http是基于tcp/ip应用层协议

• 请求方式

  • GET

    • 请求获取Request-URI（请求地址）所标识的资源。(请求读取由url所标志的信息）

      • 比POST发送数据量更大

  • POST

    • POST 在Request-URI所标识的资源后附加新的数据。（给服务器添加信息，例如注释）

      • 比GET更安全

  • HEAD

    • 请求获取由Request-URI所标识的资源的响应消息报头

  • PUT

    • 请求服务器存储一个资源，并用Request-URI作为其标识

  • DELETE

    • 请求服务器删除Request-URI所标识的资源

  • TRACE

    • 请求服务器回送收到的请求信息，主要用于测试或诊断

  • CONNECT

    • 用于代理服务器

  • OPTIONS

    • 请求查询服务器的性能，或者查询与资源相关（特定）的选项和需求

• 状态信息

  • 临时响应（1xx）:表示临时响应并需要请求者继续执行操作的状态代码
  • •成功（2xx）:表示成功处理了请求的状态代码
  • •重定向（3xx）:表示要完成请求，需要进一步操作，通常用来重定向
  • 请求错误(4xx)：表示请求可能出错，妨碍了服务器的处理
  • 服务器错误(5xx)：表示服务器在尝试处理请求时发生内部错