02.basis.md

goer ... 2022-01-21 Web安全
  • Web安全
大约 4 分钟

基础知识

[toc]

# 基础知识

web(World Wide Web)==万维网==跨平台的分布式信息系统

# web

					图解:
					
前端:(看得到的)              后端:(看不见的)
	
			 http/https(协议)
html/css/javascript         后端语言+服务器+数据库
1
2
3
4
5
6

# 1. 前端

看得到的页面(小孩子)

html   -->  赤裸的身体
css    -->  漂亮的衣服
javascript --> 肢体动作
1
2
3
4
5

# 2. 后端

看不到的东西(父母)

其实服务器(就是一台电脑)上的一个程序
php python node.js c java  --> 编程语言其实就和各个国家的语言一样
1
2
3
4

千万不要说什么编程语言好 和==中国人交流当然说汉语最好==

# 3. 数据库

数据库: 存放数据的容器(储物柜)

mysql oracle  mongoDB  -->  和你想存储的物件大小决定的
1
2
3

千万不要说什么数据库好 ==大型数据oracle==小型数据mysql

# 4. 协议

协议: 规定好的通信、交流方式

中文协议:规定主谓宾 --> 我爱你姑娘      姑娘你爱我-就会变意思
协议:双方规定怎么交流 
1
2
3
4

web安全:前端、后端、协议、数据库等都有问题

# other1.0

# 1. 服务器

服务器: 一台很牛b的电脑
1

# 2. IP地址、端口

只有拥有ip地址,才能上网

ip地址:(Internet Protocol Address) 互联网协议地址,全球唯一

端口:(0~65535) 每个软件的  通信进出口
1
2
3

# 3. 内外网

局域网:LAN(Local Area Network) -- 内网

广域网:Wan(Metropolitan Area Network) -- 外网

内网ip:
    192.168.*.*
    172.16.*.* - 172.31.*.*
    10.*.*.*
其他就是外网ip
1
2
3
4
5

# 4.url

url:(Uniform Resource Location)统一资源定位符 每个资源都是全球唯一的

# 5. Mac地址

mac:(Media Access Control) 介质访问控制符==全球唯一==每个硬件都有

# 6.映射和端口映射

映射:转移,(打给妈妈的电话,转给我接)

端口映射:(路由器设置,端口转发)

只要通信就要打开端口

image-20211007202651194

# 7. 域名和DNS

域名:ip地址的别名==为了方便记忆==

DNS: 域名解析服务器 提供域名解析为ip地址的

image-20211007204131903

# other2.0

# 1. 网卡

网卡:==联网设备==都有的硬件(芯片、pcd板、天线)

# 2. 网关

网关:(海关)网卡的门==所有的流量进出口==

//tracert 路由跟踪
tracert www.baidu.com

//通过最多 30 个跃点跟踪
//到 www.a.shifen.com [14.215.177.38] 的路由:

  1     1 ms    <1 毫秒    1 ms  192.168.0.1 //网关
  2   743 ms   525 ms   615 ms  172.16.247.53
1
2
3
4
5
6
7
8
# 3. ipv4/ipv6

历史原因:ipv4设计之初,能够为所有电脑分配地址,但是科技发展的原因,ipv4资源匮乏。为什么还有ipv4呢?(nat:地址转换技术的出现)

ipv6:可以为世界每一颗沙子分配一个地址

image-20211017161846889

# 4. 浏览器

浏览器:==上网==的软件

# 5. 操作系统

linux,windows:(Operating System OS)==管理硬件和软件==的软件

# 6. 虚拟机/Docker

虚拟机:(vmware、virtualbox)虚拟一个系统出来

Docker:也是虚拟系统,利用系统公共特点,但更加==小巧灵活==

# 7. nat/桥接(**)

桥接:主机和虚拟机平级关系 (网关相同,同一网段)

NAT: 主机和虚拟机父子关系 (网关不同,不同网段,父子关系)

image-20211017163600857

image-20211017163903627

# 8. shell/webshell

shell: 控制计算机的一个命令行

webshell: 通过网页形式,控制计算机的一个命令行网页界面

# 9. 正向/反向shell

正向:黑客主动连接受害者

反向:受害者主动连接黑客

image-20211017164612507

# 10. 弱口令、字典、暴力破解

弱口令:简单的密码

字典:收集的密码集合

暴力破解:一个一个密码的尝试

cookie: 存放在客户端

session: 存放在服务端

都是保存状态的文件或数据(记住密码和账号)

# 12. Bypass

bypass:==绕过==比如你想要进入一个小区,但是有门卫大爷,你绕过他进去的这个动作,就叫绕过,方法手段千奇百怪

# 13. 漏洞/oday漏洞

漏洞:程序设计人员设计软件硬件时设计漏洞,产生bug

0Day:最新产生的大的bug

# 14. 攻击/入侵/渗透/DDOS/肉鸡

攻击入侵渗透:获取目标信息,获取目标shell

DDOS:绝决服务攻击,打死目标服务

肉鸡:已经被控制的计算机

# 15. 代码审计

代码审计:看代码,找bug

审计工具:自动快捷找bug的工具

# 16. CTF/AWD

CTF:(Capture The Flag)夺旗赛:黑客心中殿堂 线上赛

SWD:(Attack with Defence) 线下赛

# 17. 靶机/DVWA/CMS

靶机:搭建好的漏洞测试环境

CMS: 内容管理系统 后台

# 18. 工具工具

sqlmap、Burpsuit:可以适当使用工具,但请一定先明白其原理

# 19.后渗透

后渗透:攻击结束,建立持久访问的联系