日报内容详情:
日期:2020/1/14
上午:
1.今天就开始讲web安全了,现在大多数的服务器都是有很多层waf,来防止我们这些初学者去对于网站进行破坏,接入讲述了web框架的实验拓扑图的大概流程。随后进行HTTP协议的介绍,讲述HTTP的协议结构。
2.讲述了HTTP连接的基本操作:
先客户端发送连接请求给服务器,服务器收到后,返回确认码和请求确认码,客户端收到请求确认后,进行确认,然后就发送再次确认码,传输给服务器,其后服务器和客户端都进入数据传输状态。
3.HTTP请求报文格式:
请求行、请求头部、实体部分。
请求方法-url-http版本
请求方法:Option、Get、Head、Post、Put、delete等等,常用的方法是Get、Post。
4.cookie字段(限制长度):
用户的身份凭证。
在后面加上http only,如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
Cookie可以保持登录信息到用户下次与服务器的会话。
5.返回码:
200是ok。
404是未找到网页。
503是服务不可用。
3xx是重定向需要进一步操作。
400(错误请求)服务器不理解请求的语法。
下午:
1.简单介绍了一下常见信息收集类工具:
nmap工具、whois工具等等。
详细讲述了一下curl了的使用和功能。
2.然后漏洞扫描工具介绍:
AWVS工具
Nssus工具
aapscan
3.常见漏洞利用工具介绍:
中国菜刀(不推荐)、antsword、Behinder
sqlmap:sql注入漏洞来接管数据库。
穿山甲:是注入验证利用工具,是目前已有的sql注入工具中最好之一。
strurs2终极漏洞工具,使用于java开发的网站。
4.常见平台工具:
burp suite:用于攻击web应用程序的集成平台。
Metasploit:是一款框架型的渗透工具。
5.练习了使用bp来对于有远程文件传输漏洞的phpstuay进行了测试,能够熟悉基本的操作,认识了bp的大致功能模块,顺便熟悉了一下一句话的木马编写。
总结:这次的课程让我们熟悉到了更多的软件的使用,也对于HTTP连接的过程有了一定的了解,对于web安全的步骤有一个一个初步的认识,这很重要,以后思考起来这个方面问题肯定能更简单。