WEB安全基础

web安全基础

1. web应用介绍

1. web是什么

WEB指的是web应用，通俗的说就是网站。

2. web发展历程

1. web1.0-----静态网站-------又静态网页构成-------前端网页

网站展示的数据就是网站开发者想让访问者观看的内容
特点：攻击的作用不大，因为不能获取数据，大部分的攻击只能通过拒绝式服务攻击进
行。攻击的原因就是黑客炫技。

2. web2.0----多了数据库

网站展示出的数据来自于数据库，用户可以根据权限、需求访问使用对应的数据。产生
了登录、注册功能完成权限的划分。
特点：攻击者的攻击思路发生了变化，从DOS攻击转变成了获取数据。

3. 结构

1. 硬件

客户端------客户使用的电脑
后端服务器----web服务器与客户端服务器在同一个服务器设备上，web应用与数据库分布式部署
web服务器-------架设网站的
数据库服务器----假设数据库的

2. 软件

1. 客户端

浏览器------前端语言的解析环境，作用就是浏览与数据输入
1. HTML解析环境
2. js解析环境
3. CSS解析环境

2. 服务器端

1. 中间件-----发布网站的

存放网站源码，后端代码也有前端代码
apache\nginx\IIS\tomcat\weblogic

2. 后端语言解析环境–解析对应的后端脚本语言

1. PHP
2. jsp
3. ASP
4. ASPX

3. 数据库-----装数据的

1. 名词介绍----广义的数据库指的是数据库管理软件，如mysql，
   mssql,oracle。狭义的数据库指的是，数据库管理软件中的库
2. 结构----不是所有的数据库都库这层概念

库
表
列
数据

4. 网站的功能—前后台的主要区分方式是权限高低

1. 前台

所有人都可以访问的网页

2. 后台----对网站做管理的。

只有管理人员才可以访问的网站

2. 网站访问

1. 名词解释

urL---统一资源定位符---------网址
urI----通用资源定位符
区别：urL是URI的一部分，URL后面可以跟上数据

2. 访问流程

1. 在浏览器上输入URL

2. DNS解析URL—将域名解析成ip地址

1. 本地浏览器上是否有DNS的缓存，有则直接访问web服务器，并建立连接
2. 如果没有则利用DNS服务器解析域名获得IP地址

3. 客户端与服务器端建立连接

TCP三次握手
1. 客户端向服务器端发送SYN
2. 服务器端回复客户端ACK+SYN
3. 客户端回复服务器端ACK

4. 请求

客户端向服务器端发送请求，请求服务器端上的资源。

5. 响应

服务器找到对应资源，将找到的资源拼接成静态网页，且将此静态网页压缩打包成数据
包发送给客户端。将数据包解压并且在浏览器上解析静态网页。

6. 断开连接

3. web应用编码技术

4. http协议剖析

1. http/https协议

http是超文本传输协议，https是加密超文本传输协议，https数据被加密了，http是明文传输。
特点：HTTP/HTTPS是传输层协议，且是无状态的

2. 请求报文

1. 结构

1. 请求行

1. 数据传输的方式

1. POST
数据在请求正文中
特点：传输的数据的量较大，安全性较高
2. GET
数据在URL上
特点：传输的数据量较小，安全性较低
3. PUT，可以向web网页中输入数据-------写入木马文件----造成系统权限的丢失

2. 请求的资源
3. 使用的协议

2. 消息报头—含有大量的字段

3. 请求正文–传输的数据

2. 字段

1. cookie----保存登录状态，完成一个权限划分

1. cookie----多个字符串
保存在浏览器上，每次访问网站是，浏览器上如果存在该站点的cookie，此cookie的值将会随着请求一起发送
2. session----多个字符串
session值存放在web服务器的某个文件中，但是文件名存放到cookie

2. User-Agent，表示发起请求的客户端浏览器版本
3. Accept-Language，使用语言----还代表地址
4. Content-Type，传输的数据类型什么----MIME
5. X-Forwarded-For，发起请求的源IP

3. 响应报文

1. 结构

1. 响应行

1. 协议与版本
2. 响应码
	1xx请求正在继续，还在处理
	2xx请求成功
	3xx重定向
	4xx客户端错误-----断网
	5xx服务端错误

2. 消息报头
   各种字段
3. 响应正文
   服务器端找到的资源，且拼接成的静态网页

2. 字段

1. Server:服务器及中间信息
2. X-Powered-By，后端开发语言种类
3. Content-Type，响应内容的类型

5. phpstudy搭建web应用站点

1. phpstudy

快速部署网站的一个集成化工具

2. 特点

免费、小巧、灵活、连接数很小（不利于商用）

3. 部署

将网站的源码放入网站的根目录中并解压

4. 功能

mysql数据库
	用户名与密码:root/root----管理员权限
	phpmyadmin工具