web基礎隨筆

婷婷的橙子發表於2020-10-18

一、用自己的語言描述get、post、Accept、Referer、User-Agent、host、cookie、X_Forwarded_for、Location各請求頭的含義

1. GET

  • http請求方法,從瀏覽器獲取一個資源

2. POST

  • 提交資料、賬號密碼等,加密傳輸

3. Accept

  • 支援的語言程式、接收的檔案型別等等….

4. Referer

  • 起過渡作用,從一個頁面轉到另一個頁面

5. User-Agent

  • 顯示瀏覽器的指紋資訊

6. host

  • 主機

7. cookie

  • 記錄並儲存你去過哪些地方,可以用於分析使用者的喜好推薦廣告

8. X_Forwarded_for

  • 識別http代理、負載均衡方式連線到web伺服器的客戶端ip地址(可修改ip地址),

9. Location

  • 用於重定向響應中的重定向目標

二、常用 http 支援的方法有那些,同時對Head、options、put、get、post用自己的語言進行描述

1. Head

  • 檢查伺服器上的資源,判斷頁面服務是否存在

2. options

判斷並顯示瀏覽器所支援的方法

3. put

  • 向伺服器上傳資源,開啟這個服務容易被攻擊

4. get

  • 向瀏覽器獲取資料

5. post

  • 向瀏覽器提交資料,加密傳輸

三、cookie頭裡面的secure與HttpOnly項分別代表什麼含義

1. secure

  • 僅在https請求中提交cookie。

2. HttpOnly

  • 不會被釣魚網站盜走cookie,安全級別高,

四、寫出安全滲透裡面常用編碼有那些

  • Unicode編碼、HTML編碼、Base64編碼、十六進位制編碼

五、burp大概有那些功能模組

  1. Proxy(代理):預設埠8080,開啟代理可以截獲並修改web應用的資料包
  2. Spider(抓取):抓取web提交的資料資源
  3. Scanner(掃描器):掃描web程式的漏洞
  4. Intruder(入侵):漏洞利用,web程式模糊測試,暴力破解等
  5. Repeater(中繼器):重放模擬資料包的請求與響應的過程
  6. Sequenecer:檢查web程式會話令牌的隨機性並執行各種測試
  7. Decoder(解碼);解碼和編碼

六、靜態 動態語言區別

1. http

  • 靜態語言,不存在漏洞,訪問速度快,服務端和客戶端程式碼一致(如html)

2. php

  • 動態語言,可連線資料庫實時更新,服務端和客戶端程式碼不一致(如: asp,php,aspx,jsp)

七、常見的指令碼語言有那些

  • 如PHP, VBScript和Perl ;

八、常見的資料庫有那些

  • mysql 、SQL Server、Oracle、Sybase、DB2

九、常見的資料庫與指令碼語言搭配

  • asp+access
  • asp+mssql
  • php+mysql
  • aspx+mssql
  • aspx+oracle
  • jsp+oracle
  • jsp+mssql

十、系統、指令碼語言、中介軟體如何組合

  1. Windows2003/2008/2012+asp、aspx、php+iis6.0/7.0+7.5
  2. Apache+Windows/Linux+PHP Windows/Linux+Tomcat+JSP

十一、滲透測試過程中如何檢視對方作業系統是什麼系統或版本

1、工具(RASS、天鏡、NMAP、X-SCAN)

2、第三方平臺(seo.chinaz.com)

3、透過ping觀看TTL值

C:\Users\陳婷>ping 127.0.0.1

正在 Ping 127.0.0.1 具有 32 位元組的資料:
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64
來自 127.0.0.1 的回覆: 位元組=32 時間<1ms TTL=64

4、網頁檔案大小寫

windows不區分大小寫
Linux區分大小寫

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章