IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> web安全基础 -> 正文阅读

[PHP知识库]web安全基础

动手搭建第一个你的网站

phpstudy是一个php集成环境
一般网站套件组合
apache+php+mysql

apache:web容器,容下网站的东西,即支持http协议的一个容器,网站必不可少
php:实现网站功能的脚本编程语言
c:编译型语言 编译生成文件 才能运行
php:脚本语言是不需要编译的,是解释型语言。代码写进去,通过解释器直接生成一个文件,而不需要另外生成一个文件
mysql:登录时的用户、密码 存储在数据库管理系统中,通过mysql可以操作数据。

专业术语

域名
域名解析
木马:
软件木马,远程控制对方电脑
脚本木马,可以通过脚本木马控制你的网站
社工(人肉)
IP:网络地址
后门
poc(proof of concept):验证漏洞的工具
exp(exploit):利用漏洞的工具

http协议

域名:
www.baidu.com

网址:http://www.baidu.com/

协议://host:port/

编码

1.URL编码:
一种用来打包表单输入的格式。
编码格式为:%号+16进制
2.base 64编码:
最常见用于传输8b字节的编码方式之一
编码格式:大小写字母数字/大小写字母+=
3.html实体化编码
在html中不能使用<号和>号,这是因为浏览器会误认为他们是标签,所以使用实体化编码
编码格式:&开头/&#开头,结尾

加密
MD5(消息摘要算法第五版)为计算机安全广泛使用的函数。
1.压缩性 任意长度数据,算出的MD5的长度是固定的
2.容器计算 从原数据计算MD5很容易
3.抗修改性,对原数据修改一个字节也会对MD5有一个很大的改变
4.强抗碰撞已知原数据和MD5值,想找到一个具有相同MD5值的数据是非常难的
MD5默认长度16和32位
只包含abcdef这几个字母和数字0-9

DOS命令初识

DOS和CMD
CMD只是调出DOS的命令,因为在没有我们现在用的系统之前,dos占据统治地位,有些问题用DOS解决还是非常好的。

常用的DOS命令

  1. 通配符:
    '*'代替一个或多个字符
    '?'代替一个字符
  2. 查看命令
    cd dir more type
  3. 操作命令
    md rd copy del ren(重命名)

信息收集

1.网站信息刺探
查找站点链接的方法:
暴力破解:御剑
搜索引擎: who is+网址 &通过删掉备案号查询

  • 高级语法:
    intitle
    intext
    inurl
    site:baidu.com
    inurl:baidu.com
    intitle:baidu.com
    intext:baidu.com
    站内爬虫
    旁站(同一ip下的其他网站)C段(ip地址范围是1.1.1.1-1.1.1.255的):
  • 大数据平台:zoomeye 钟馗之眼
  • 在线C段查询 https://phpinfo.me/bing.php
  • 子域名查询 Layer子域名挖掘机

2.服务器信息刺探
live http headers获取网站的响应报文
服务器分为两种:
远程(云)服务器和物理服务器
获取服务器的IP的方法:

  • ping:dos命令获取服务器IP
  • 多地ping:在多地方ping确认真是IP
  • IP反查:进一步确认真实ip对应的网站

CDN服务器:缓存服务,帮助用户更快的访问网站。作为安全保护,可以掩藏真实ip。
绕过思路:

  • 使用国外的dns,可能会得到真实ip
  • 查询网站的历史解析记录
    https://www.netcraft.com/site_report?url=baidu.com

nmap:
-sS 半开扫描 不会记录日志,但需要root权限
-sA 用来穿过防火墙的规则集,速度慢
扫描C段:
nmap -sP www.baidu.com/24 -oN 1.txt

nmap +脚本引擎 nmap --script

3.个人信息刺探

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-11-14 21:23:49  更:2021-11-14 21:24:49 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:31:31-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码