1、動態web:
可以接受客戶端提交的資料,動態互動資料,就會有漏洞的存在
2、web大致框架:
(1)瀏覽器--->web伺服器--->應用伺服器--->資料庫
(2)程式**
3、http協議基礎:
明文通訊,沒有內建的機密安全機制
https只能提高傳輸層安全,仍然可以截斷資訊
使用cookie,身份驗證。伺服器跟蹤客戶端根據cookie。客戶端拿到的是sessionid,伺服器是session。
4、http請求和響應:
content-length:(可用於驗證是否暴力破解成功)
host:表示請求將會傳送的目的地,(僅包括主機位址及埠號)
orgin:表示請求來自請求從**發起(通常僅包括協議及網域名稱)
referer:表示其來自**的完整url(包括協議+網域名稱+引數)
100s:通常表示伺服器還有後續處理
200s:表示伺服器接受成功並處理後返回的響應結果
300s:重定向(比如,身份認證成功後重定向安全頁面)
400s:客戶端錯誤(如:401:需要身份驗證 403:拒絕訪問 404:目標未發現)
500s:伺服器錯誤 (如:503:服務不可用)
(1)重要的header:
set-cookie:伺服器發給客戶端的sessionid(身份認證)
content-length:響應body部分的位元組長度(暴力破解)
location:重定向到另乙個頁面,身份認證成功後允許訪問的頁面
cookie:請求頭,都有seesionid,客戶端發給伺服器證明使用者狀態
referrer:發起請求之前,使用者所在的頁面鏈結
host:
5、響應碼:(伺服器響應的狀態碼)
100s:通常表示伺服器還有後續處理,很少出現
200s:響應成功
300s:重定向,301(永久重定向)302(臨時性重定向)
400s:請求錯誤,401(需要身份驗證)403(拒絕訪問)404(目標未發現)
500s:伺服器內部錯誤,503(服務不可用)
6、偵察:httrack
建立乙個目錄:mkdir dvwa
在kali中:httrack
project name: dvwa
存放路徑:/root/dvwa
url:
: 2(或1)
**::* (所有) :
7、掃瞄
(1)nikto
一些常用的命令:
需要身份認證的時候,修改配置檔案,再進行掃瞄
該筆記為安全牛課堂學員筆記,想看此課程或者資訊保安類乾貨可以移步到安全牛課堂
security+認證為什麼是網際網路+時代最火爆的認證?
牛妹先給大家介紹一下security+
security+ 認證是一種中立第三方認證,其發證機構為美國計算機行業協會comptia ;是和cissp、itil 等共同包含在內的國際 it 業 10 大熱門認證之一,和cissp偏重資訊保安管理相比,security+ 認證更偏重資訊保安技術和操作。
通過該認證證明了您具備網路安全,合規性和操作安全,威脅和漏洞,應用程式、資料和主機安全,訪問控制和身份管理以及加密技術等方面的能力。因其考試難度不易,含金量較高,目前已被全球企業和安全專業人士所普遍採納。
security+認證如此火爆的原因?
原因一:在所有資訊保安認證當中,偏重資訊保安技術的認證是空白的, security+認證正好可以彌補資訊保安技術領域的空白 。
目前行業內受認可的資訊保安認證主要有cisp和cissp,但是無論cisp還是cissp都是偏重資訊保安管理的,技術知識講的寬泛且淺顯,考試都是一帶而過。而且cissp要求持證人員的資訊保安工作經驗都要5年以上,cisp也要求大專學歷4年以上工作經驗,這些要求無疑把有能力且上進的年輕人的持證之路堵住。在現實社會中,無論是找工作還是公升職加薪,或是投標時候報人員,認證都是必不可少的,這給年輕人帶來了很多不公平。而security+的出現可以掃清這些年輕人職業發展中的障礙,由於security+偏重資訊保安技術,所以對工作經驗沒有特別的要求。只要你有it相關背景,追求進步就可以學習和考試。
原因二: it運維人員工作與翻身的利器。
在銀行、**、保險、資訊通訊等行業,it運維人員非常多,it運維涉及的工作面也非常廣。是乙個集網路、系統、安全、應用架構、儲存為一體的綜合性技術崗。雖然沒有程式猿們「生當做光棍,死亦寫**」的悲壯,但也有著「鋤禾日當午,不如運維苦「的感慨。天天對著電腦和機器,時間長了難免有對於職業發展的迷茫和困惑。security+國際認證的出現可以讓有追求的it運維人員學習網路安全知識,掌握網路安全實踐。職業發展朝著網路安全的方向發展,解決國內資訊保安人才的匱乏問題。另外,即使不轉型,要做好運維工作,學習安全知識取得安全認證也是必不可少的。
原因三:接地氣、國際範兒、考試方便、費用適中!
comptia作為全球ict領域最具影響力的全球領先機構,在資訊保安人才認證方面是專業、公平、公正的。security+認證偏重操作且和一線工程師的日常工作息息相關。適合銀行、**、保險、網際網路公司等it相關人員學習。作為國際認證在全球147個國家受到廣泛的認可。
在目前的資訊保安大潮之下,人才是資訊保安發展的關鍵。而目前國內的資訊保安人才是非常匱乏的,相信security+認證一定會成為最火爆的資訊保安認證。
安全牛學習筆記 WPS
該筆記為安全牛課堂學員筆記,想看此課程或者資訊保安類乾貨可以移步到安全牛課堂 security 認證為什麼是網際網路 時代最火爆的認證?牛妹先給大家介紹一下security security 認證是一種中立第三方認證,其發證機構為美國計算機行業協會comptia 是和cissp itil 等共同包含...
安全牛學習筆記 OSI網路模型
osi 網路模型 物理層規定位元在物理介質中的傳輸方式,解決物理傳輸過程中的問題。代表裝置 中繼器,集線器 多埠中繼器 資料鏈路層 在不可靠的網路環境中進行可靠的資料傳輸。解決資料傳輸中可能出現的丟失,重複等問題。使用 mac位址。代表裝置 網橋 乙個廣播域,多個衝突域 交換機 類似於多埠的網橋,乙...
安全牛學習筆記 python使用入門
第一講 python使用入門 1.python版本可以分為2.x和3.x python3.x缺點不向下相容 2.使用python的優點 語法簡潔,可讀性高,開發效率高,無需編譯,移植性好等等 3.使用python可以做的事情 系統程式設計,使用者圖形介面,internet指令碼,資料庫程式設計等等 ...