网络协议
- OSI(后三个偏硬件)
应用层:用户看到的页面
表示层:根据数据转换成不同的文件类型(text、img…)
会话层:建立和管理连接
传输层:分配端口号
网络层:决定数据的路径和转存
数据链路层:指定拓扑结构和硬件寻址
物理层:bit底层 - TCP
三次握手
第一次:客户端发送SYN给服务端
第二次:服务端发送SYN+ACK给客户端
第三次:客户端发送ACK
四次挥手
第一次:A发送fin
第二次:B发送ACK
第三次:B发送fin+ACK
第四次:A发送ACK
HTTP协议
请求(get)+响应(post)=HTTP协议
web前端测试分析
利用httpwatch来进行以上分析时需了解一些基础知识
blocked:表示预处理时间
DNS:域名解析,在生命周期中只做一次
wait:近似当成服务器处理时间
receive:与网络状况有关与请求无关
TTFB+receive = network
web安全性测试
-
DDOS拒绝服务攻击(D表示分布式;拒绝服务指的是不能向正常用户提供服务)
疯狂向服务器发请求,让服务器崩溃。 -
文件上传漏洞
-
xss跨站攻击
钻有输入的漏洞,攻击用户,服务器完好无事 -
sql注入
登录注入
首先服务器输入无长度限制
然后需猜测表名、列名、加密方式URL注入
首先先试探(通过输入sql语句来看网站是否报错、不显示…)
然后用order试出边界值
最后逐步获取数据库名称、表名、列名、全部用户的个人信息
cookie与session机制
最大的区别就是Cookie是保存在客户端而Session就保存在服务端