CTF入门学习2->Web基础了解

2021年11月26日 阅读数:3
这篇文章主要向大家介绍CTF入门学习2->Web基础了解,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

Web安全基础

00 Web介绍

00-00

Web本意是网,这里多指万维网(World Wide Web),是由许多互相链接的超文本系统组成的,经过互联网访问。浏览器

Web是很是普遍的互联网应用,天天都有数以亿万计的Web资源传输。安全

咱们平时经过浏览器上网都属于Web。服务器

PS:万维网和互联网、因特网又有什么联系呢?网络

 

00-01 Web发展史

Web1.0

初期;框架

  • 典型示例:ide

    • 门户网站工具

    • 我的页面网站

  • 安全问题:spa

    • SQL注入blog

    • 上传漏洞

    • 文件包含

    • 挂马、暗链

    • 命令执行

    • (主要危害Web服务器)

通常就是提供静态的页面给用户,并且这种信息只可以阅读,不可以修改或添加。

Web2.0

现在;

  • 典型示例:

    • 微博

    • Blog

  • 安全问题:

    • (更复杂,逐渐针对Web用户

    • 钓鱼

    • URL跳转

    • 数据劫持

    • 框架漏洞

    • CSRF

    • XSS

    • 逻辑漏洞

Web安全形势不容乐观,数量迅速增加,种类迅速增多,从针对Web服务器到Web用户,因此Web安全知识比较重要。

00-02 Web工做流程

以点餐类比

 

 

 

一般咱们做为客户,只须要向服务员点餐、服务员上餐就能够了,而若是想要了解全过程,那Web的后续和餐厅订餐的后续也是很像的。

下面是Web提供服务的标准流程:

 

 

这里也分为客户端和服务端。

上面的安全问题也能够以此划分。

 

 

00-03 浏览器

工做原理

咱们访问一个网站,输入的是一个URL(域名/网址),浏览器是没法经过咱们输入的URL找到相应的Web服务器的,它只能经过IP地址才能找到Web服务器。

因此第一步,浏览器先经过URL获取Web服务器的IP地址(也称DNS解析);

第二步,才是经过解析获得的IP地址,访问Web服务器。

工做示例

咱们打开浏览器,输入:https://www.cnblogs.com/Roboduster

浏览器收到这个URL,会先进行上面说到的DNS解析,一般状况下,浏览器会先向DNS服务器发送解析请求,请求查询这个URL的IP地址。

DNS服务器处理完成后,返回这个IP地址。

浏览器接收这个信息,并据此找到WEB服务器。

以后,须要根据HTTP协议进行通信。

浏览器先发送一个HTTP请求,服务器处理完后,会返回一个HTTP响应给浏览器。

操做演示

咱们打开https://www.cnblogs.com/Roboduster

按F12(自行找到开发者工具),选中网络这一格

 

 

而后咱们,找到左侧的all(所有),点击,刷新该页面。

 

 

刷新后能够看到浏览器发送了不少请求。这些请求就是咱们说的HTTP请求。

咱们选中左侧的任何一个js文件,右侧标头(head)里能够看到请求的详细信息。响应里有这个js通过压缩的样子。预览能够看到好一点的代码风格。

 

 

同理能够查看CSS和img等各类文件格式。

最重要的是咱们须要关注上方的文档(Doc),这是咱们请求的主页面,咱们能够在下面的计时(timing)查看请求的耗时

 

 

标头里咱们能够看到远程地址,这里就是所请求的IP对应的服务器的地址

在响应里能够看到咱们请求获得的数据体

00-04 留一个问题

经过上面的操做咱们可能会有疑问,咱们查看的是HTTP响应,这里是相应的数据流,而咱们平时上网看到的是各色各样的Web页面

那么浏览器是如何将服务器返回的HTTP响应转换成咱们看到的页面的呢?

这就涉及各类标准和技术:HTML、JS、CSS等;这些东西将响应渲染成特定的页面给用户。