2020-01-14

今日所学

web安全-渗透测试工具

1. 典型的web构架
   web框架解读
   张长河，北京卫达,悬赏黑客

2. http协议的主要特点

   1. 支持客户/服务器模式
   2. 简单快速
   3. 灵活
   4. 无连接
   5. 无状态

3. http协议的内部操作过程
   http定义的事务处理由以下四步组成：

   1. 客户端与服务器端建立连接
   2. 客户端向服务器端发送请求
   3. 服务器端向客户端回复响应
   4. 断开连接

4. http协议的方法：

   1. get 获取uri 的内容
   2. head只请求页面的首部
   3. post
   4. put
   5. delete

5. url和uri的区别
   URI = Universal Resource Identifier 统一资源标志符，用来标识抽象或物理资源的一个紧凑字符串。
   URL = Universal Resource Locator 统一资源定位符，一种定位资源的主要访问机制的字符串，一个标准的URL必须包括：protocol、host、port、path、parameter、anchor。
   URN = Universal Resource Name 统一资源名称，通过特定命名空间中的唯一名称或ID来标识资源。

    URI包括URL和URN两个类别，URL是URI的子集，所以URL一定是URI，而URI不一定是URL
   

6. http有两种报文
   请求报文和响应报文

7. http请求报文结构
   

8. http请求头--cookie

9. http请求头--referer

10. phpstudy后门

11. http响应常见状态码

12. 代理服务器
    代理服务器（Proxy Server）是一种重要的服务器安全功能，它的工作主要在开放系统互联(OSI)模型的会话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和Local Area Network（局域网）。

13. 协议基础

14. 什么是https, https的主要作用是什么？
    HTTPS的全称是Secure Hypertext Transfer Protocol（安全超文本传输协议），是在http协议基础上增加了使用SSL加密传送信息的协议。端口443

15. 两款分析工具

16. web

17. (bp)burpsuite_pro_v2.1.07和phpStudy的安装

18. 信息收集类工具

19. 漏洞扫描类工具(见ppt)

20. antsword
    加载器+源码

21. behinder

22. sqlmap

遇到的问题:

bp的安装不成功,总是没有证书,将burp-loader-keygen-2_1_07上的证书复制粘贴上去没反应,run也没反应
百思不得其解,最后问同桌,他帮我检查了一下,找出了问题,原来是我的jdk版本太高,导致运行不了,最后我将13.0的卸了重装了一个8u231的,run了一下,就自动打开了,然后复制证书过去也有反应,接下来就水到渠成.

感受:

又是忙碌的一天,接受了很多新东西,感觉东西有点多,自己一下子不太好消化吸收.都怪自己平时没有在这上面下功夫,导致进度跟不上.以后要多多去学,多钻研才能有学有所获.