CTF入门学习2->Web基础了解

W_BinaryTree 发布于2021-11-19 11:36 / 3188人阅读

摘要：安全基础介绍本意是网，这里多指万维网，是由许多互相连接的超文本系统组成的，通过互联网访问。刷新后可以看到浏览器发送了很多请求。同理可以查看和等各种文件格式。

Web安全基础

00 Web介绍

00-00

Web本意是网，这里多指万维网(World Wide Web)，是由许多互相连接的超文本系统组成的，通过互联网访问。

Web是非常广泛的互联网应用，每天都有数以亿万计的Web资源传输。

我们平时通过浏览器上网都属于Web。

PS：万维网和互联网、因特网又有什么联系呢？

00-01 Web发展史

Web1.0

初期；

典型示例：
- 门户网站
- 个人页面
安全问题：
- SQL注入
- 上传漏洞
- 文件包含
- 挂马、暗链
- 命令执行
- （主要危害Web服务器）

一般就是提供静态的页面给用户，而且这种信息只能够阅读，不能够修改或添加。

Web2.0

如今；

典型示例：
- 微博
- Blog
安全问题：
- （更复杂，逐渐针对Web用户
- 钓鱼
- URL跳转
- 数据劫持
- 框架漏洞
- CSRF
- XSS
- 逻辑漏洞

Web安全形势不容乐观，数量迅速增长，种类迅速增多，从针对Web服务器到Web用户，所以Web安全知识比较重要。

00-02 Web工作流程

以点餐类比

通常我们作为客户，只需要向服务员点餐、服务员上餐就可以了，而如果想要了解全过程，那Web的后续和餐厅订餐的后续也是很像的。

下面是Web提供服务的标准流程：

这里也分为客户端和服务端。

上面的安全问题也可以以此划分。

00-03 浏览器

工作原理

我们访问一个网站，输入的是一个URL（域名/网址），浏览器是无法通过我们输入的URL找到相应的Web服务器的，它只能通过IP地址才能找到Web服务器。

所以第一步，浏览器先通过URL获取Web服务器的IP地址(也称DNS解析)；

第二步，才是通过解析得到的IP地址，访问Web服务器。

工作示例

我们打开浏览器，输入：https://www.cnblogs.com/Roboduster

浏览器收到这个URL，会先进行上面说到的DNS解析，通常情况下，浏览器会先向DNS服务器发送解析请求，请求查询这个URL的IP地址。

DNS服务器处理完成后，返回这个IP地址。

浏览器接收这个信息，并据此找到WEB服务器。

之后，需要根据HTTP协议进行通讯。

浏览器先发送一个HTTP请求，服务器处理完后，会返回一个HTTP响应给浏览器。

操作演示

我们打开https://www.cnblogs.com/Roboduster

按F12(自行找到开发者工具)，选中网络这一格

然后我们，找到左侧的all(全部)，点击，刷新该页面。

刷新后可以看到浏览器发送了很多请求。这些请求就是我们说的HTTP请求。

我们选中左侧的任何一个js文件，右侧标头(head)里可以看到请求的详细信息。响应里有这个js经过压缩的样子。预览可以看到好一点的代码风格。

同理可以查看CSS和img等各种文件格式。

最重要的是我们需要关注上方的文档(Doc)，这是我们请求的主页面，我们可以在下面的计时(timing)查看请求的耗时

在标头里我们可以看到远程地址，这里就是所请求的IP对应的服务器的地址

在响应里可以看到我们请求得到的数据体

00-04 留一个问题

通过上面的操作我们可能会有疑问，我们查看的是HTTP响应，这里是相应的数据流，而我们平时上网看到的是各色各样的Web页面。

那么浏览器是如何将服务器返回的HTTP响应转换成我们看到的页面的呢？

这就涉及各种标准和技术：HTML、JS、CSS等；这些东西将响应渲染成特定的页面给用户。

云服务器私有云 java运算符&gt&gt&gt 零基础入门学习机器学习基础入门机器学习入门基础

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/123983.html

CTF学习经验分享（Web方向）

摘要：也是朋友推荐的题目分类比较清晰在技能树那挨个点进去可以循序渐进的学习很适合初学而且查找近期赛程特别方便赛程表清晰明了。我们学校完全没有学习的环境与资源更没有战队哎总之先一起加油吧本人Web安全初学者，记录分享一下学习历程，推荐评价仅代表个人观点&...

番茄西红柿 2021-10-12 10:11 评论0 收藏2637
CTF_Web：长安杯-2021 Old But A Little New &amp;amp; as

摘要：后面的等等连接都在的官网，与本题没有关系。弱口令登录第一个路径，管理员控制台可以直接使用的弱口令登录，在后台中找到部署包的地方上传。系列的题目，与上一个相同的解法，用同一个包即可。 ...

nifhlheimr 2021-09-27 13:34 评论0 收藏0
NBug战队——2021-09-26第二次会议

摘要：年月日，在国庆节到来之前的周日，我们开展了战队的第二次会议，在第一次到第二次会议开展之间，又有几个小伙伴加入了我们。第二次会议，仍然是在网络中心的会议室内召开，不过与会的人员除了第一次的几位小伙伴，还有一些新加入的成员。 2021年9月26日，在国庆节到来之前的周日，我们开展...

rozbo 2021-10-09 09:41 评论0 收藏0
[CTF从0到1学习] 二、CTF WEB安全

摘要：函数输出一条消息，并退出当前脚本。和和允许直接访问进程相应的输入或者输出流。注意在这方面的行为有很多直到。允许直接访问指定的文件描述符。临时文件位置的决定和的方式一致。 ...

不知名网友 2021-11-26 11:10 评论0 收藏0
Python运用fastapi完成上传图片

　　FastAPI是个现代化的，迅速（性能卓越）pythonweb架构。本文运用fastapi完成上传图片作用，文章中的实例编码解读详尽，所需要的可以了解一下　　应用File完成文件传送　　应用Form表格上传图片，fastapi应用File获得上传文档。　　特定了参数类型是bytes：file:bytes=File(),这时会把文件所有载入到内存条，较为适合静态资源。　　应用File要提前组装p...

89542767 2023-01-14 10:34 评论0 收藏0