三、Web安全相关知识

这篇具有很好参考价值的文章主要介绍了三、Web安全相关知识。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

请勿用于非法用途

一、Web源码框架

三、Web安全相关知识,penetration testing,web安全,安全

二、目录结构

  一个标准的web应用目录结构如下:

三、Web安全相关知识,penetration testing,web安全,安全

1、静态资源

  静态web资源和jsp可以放到web应用的根目录下,web应用根目录下的资源,浏览器可以直接访问到。

2、WEB-INF

  • 目录受保护,浏览器不能直接访问;
  • 如果希望访问WEB-INF下的资源,必须将资源配置到web.xml文件中。

(1)classes

  • 存放动态web资源;
  • 主要存放源文件编译后的class文件。

(2)lib

  存放web应用程序需要用到的jar文件,一般工程所需的其他包都放在lib下。

(3)web.xml

  整个web应用的核心配置文件,用来供web容器部署和执行web应用。

😳😳😳web.xml不是必须的,一个web工程可以没有web.xml文件。

二、web脚本语言

1、脚本种类

  脚本语言是一种介乎于HTML和JAVA等编程语言只爱你的一种特殊语言。常见的脚本语言可分为静态脚本语言和动态脚本语言:

静态脚本语言:html
动态脚本语言:asp(逐步在淘汰,常见于小站点)、aspx、php(目前比较流行)、jsp

(1)ASP

  ASP全名ActiveServerPages,是MicroSoft公司开发的服务器端脚本环境,是一个WEB服务器端的开发环境,利用它可以产生和执行动态的、互动的、高性能的WEB服务应用程序。
  1)IIS(internet information server)是支持ASP运行的平台。
  2)ASP采用脚本语言VBScript(Javascript)作为自己的开发语言。
  3)ASP文件与HTML文件类似,包含文本、HTML、脚本。
  4)ASP文件中的脚本可在服务器上执行,ASP文件后缀名是 .asp。

ASP与HTML的区别:

  • 当浏览器请求某个HTML文件时,服务器就会访问这个文件;
  • 当浏览器请求某个ASP文件时,IIS会将这个请求传递给ASP引擎。ASP引擎会逐行读取这个ASP文件,并执行文件中的脚本。最后,ASP文件将以纯HTML的形式返回浏览器。

(2)ASP.NET

  • ASP.NET语言的文件后缀名为**.aspx**。通常是用 VB (Visual Basic) 或者 C# (C sharp) 编写。
  • ASP.NET 是新一代 ASP 。它与经典 ASP 是不兼容的,但 ASP.NET 可能包括经典 ASP。
  • ASP.NET 页面是经过编译的,这使得它们的运行速度比经典 ASP 快。在 ASP.NET 中的控件可以用不同的语言(包括 C++ 和 Java)编写。

  😮😮😮当浏览器请求 ASP.NET 文件时,ASP.NET 引擎读取文件,编译和执行脚本文件,并将结果以普通的 HTML 页面返回给浏览器。

(3)php

  • PHP是“超文本预处理器”,是在服务端执行的脚本语言。PHP文件可包含文本、HTML、Javascript和php代码。
  • PHP是一种创建动态交互性站点的强有力的服务器端脚本语言。PHP代码在服务器上执行,结果以HTML形式返回给浏览器,PHP文件的默认扩展名为”.php”。
  • PHP 可在不同的平台上运行(Windows、Linux、Unix、Mac OS X 等);PHP 与目前几乎所有的正在被使用的服务器相兼容(Apache、IIS 等)

(4)jsp

  • JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。
  • JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSP。
  • JSP通过网页表单获取用户输入数据、访问数据库及其他数据源,然后动态地创建网页。
  • JSP标签有多种功能,比如访问数据库、记录用户选择信息、访问JavaBeans组件等,还可以在不同的网页中传递控制信息和共享信息。JSP脚本语言的文件后缀名为“.jsp”。

2、判断方法

(1)根据cookie值

  根据数据包中传递的cookie值,比如PHP使用的会话ID是PHPSESSID,JSP使用的会话ID是JSESSION。下面网站使用的脚本语言为JSP。
三、Web安全相关知识,penetration testing,web安全,安全

(2)响应包的server值

  有时候网站的响应包会携带Server信息,Server表示Web服务器的版本。
三、Web安全相关知识,penetration testing,web安全,安全

另外需要注意以下字段:

  • X-Powered-By:Web应用框架信息。

3、网站查询

  网站
三、Web安全相关知识,penetration testing,web安全,安全

4、根据服务器类型判断

  • IIS6.0,一般是ASP,少部分是ASP.NET,也有少部分是php;
  • IIS7.0,一般是ASP.NET,少部分是ASP;
  • Nginx,一般为php,也有可能是python;
  • Apache,一般都是php;
  • Tomat、Resin、JBoss一般是JAVA;

5、使用google hack语法

  • inurl:返回url中含有关键词的网页。例如:inurl:xxx 将返回url中含有XXX的网页。
  • site:指定访问的站点。例如 site:xxx.com inurl:AAA 将只在xxx.com中查找url中含有AAA的网页。

6、Tips

  1)构造畸形请求,让网站报错;
  2)通过识别目录、指纹等信息,来识别CMS框架(框架知道了,所用的脚本语言也就知道了);
  3)分析某些html中的链接,以及ajax技术中会请求的地址;
  4)在网站后面加特殊域名,网站能正常打开,说明网站就是用该语言写的(也有特殊情况)

特殊域名:🐢🐢🐢
  index.php、idnex.asp、index.jsp、index.aspx、defualt.php、defualt.asp、default.jsp、default.aspx

  4)用正则去匹配HTML代码,找出其中的copyright(版权信息)、powered by(技术支持),进而得知使用的语言。

三、web应用

1、web应用架构

  目前流行Web应用程序架构有两种:C/S、B/S.
  1)C/S:Client/Server,服务器通常采用高性能的PC、工作站或小型机,客户端需要安装专用的客户端软件。
  2)B/S:Brower/Server,客户端只要安装一个浏览器,通过浏览器与Web服务器进行数据交互。

2、web应用开发技术

  Web开发技术大体上可以分为客户端技术和服务端技术两大类。
  1)客户端技术:Html、JavaScript、JQuery、CSS。
  2)服务器端技术:CGI、ASP和ASP.NET、PHD、Servlet、JSP。文章来源地址https://www.toymoban.com/news/detail-611226.html

3、web应用分类

  1. 论坛
  2. 聊天
  3. 电子邮件
  4. 搜索引擎
  5. 电商
  6. 内容管理系统(CMS)

到了这里,关于三、Web安全相关知识的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • web服务和前端交互相关的上中游业务技术知识点梳理

    可能之前在学校里面做的很多东西是纯后端的,不会涉及到太多和前端交互的细节,很多新手对前后端交互以及上中游业务链路的整体流程不够清晰,做一些javaWeb项目可以让我们有机会对其进行更深入的研究,最近总结了一下相关技术知识点并结合自己的实践经验来和大家分

    2024年02月21日
    浏览(40)
  • 【知识点】web安全怎么做

    1、更改服务器远程端口 更改默认端口,默认端口相对来说是不安全的,建议修改默认远程端口为随机5位数的端口。 2、设置防火墙并关闭不需要的服务和端口 防火墙是网络安全的一个重要组成部分,通过过滤不安全的服务而降低风险。安装服务器时,要选择绿色安全版的防

    2024年02月07日
    浏览(36)
  • Web安全入门基础知识(笔记)

    0x01 基础名词 一、域名 1.什么是域名 2.域名在那里注册 3.什么是二级域名,多级域名,顶级域名 4.域名发现对于安全测试的意义 二、DNS 1.什么是DNS 2.本地host和DNS的关系 3.CDN是什么,和DNS有什么关系 三、常见的DNS攻击 四、脚本语言 1.常见的脚本语言有哪些 2.不同的脚本类型于

    2024年02月10日
    浏览(53)
  • Web安全-渗透测试-基础知识02

    无代理服务器 Request请求数据包 Reponse相应数据包 有代理服务器 Requeset请求数据包 Proxy代理服务器 Reponse相应数据包 代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会 总结: 建立连接——发送请求数据包——返回响应数据包——关闭连接 定义: HTTP协议是超

    2024年02月07日
    浏览(45)
  • Web安全-渗透测试-基础知识01

    定义: 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识. 因为ip地址不方便记忆.而且不能显示地址组织的名称和性质,所以用域名也可以定位到响应的up,可简单理解为是ip地址

    2024年02月07日
    浏览(61)
  • Web服务器安全基础知识

    Web服务器安全是指保护Web服务器和其中托管的Web应用程序不受恶意攻击和非法访问的一系列措施。在互联网时代,Web服务器安全已经成为各种规模的企业和组织不可或缺的一项重要工作。 Web服务器安全涉及到多个方面,包括但不限于: 防止未经授权的访问:保护Web服务器和

    2024年02月21日
    浏览(47)
  • Web安全——渗透测试基础知识上

    1、Web安全——HTML基础 2、Web安全——DIV CSS基础 3、Web安全——JavaScript基础 4、Web安全——PHP基础 5、Web安全——JavaScript基础(加入案例) 6、靶场搭建——搭建pikachu靶场 7、Web安全——数据库mysql学习 黑客测试 行业术语扫盲(hack方面) 所谓“肉鸡”是一种很形象的比喻,比

    2024年02月13日
    浏览(51)
  • web渗透安全学习笔记:2、HTML基础知识

    目录 前言 HTML的标题 段落链接与插入图片 HTML元素 HTML属性 HTML头部 HTML与CSS HTML与JavaScript 表格与列表 HTML区块 布局 HTML表单 HTML与数据库 音频与视频 HTML事件 运行效果:   ———————————————————————————————————————————  ——

    2024年01月21日
    浏览(52)
  • 网络安全工程师必知的WEB知识

    作为一名网络安全工程师,尤其是WEB渗透测试工程师,必须掌握一些WEB相关的基础知识,下面重点从WEB服务架构、浏览器请求过程、服务器操作系统、WEB应用服务器、数据库系统、动态网站脚本语言、WEB前端框架等。 Web服务架构 Web服务主要分为C/S架构和B/S架构。下面做一下

    2024年02月04日
    浏览(56)
  • 网络安全知识入门:Web应用防火墙是什么?

    在互联网时代,网络安全问题逐渐受到重视,防火墙的配置也是非常必要的。它是位于内部网和外部网之间的屏障,更是系统的第一道防线。Web应用防火墙是什么,如何才能更好地保护Web应用,这篇文章会从应用安全为出发点,把各个技术点逐一讲透。 提到Web应用防火墙是什

    2024年03月08日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包