摘要:安全基礎(chǔ)介紹本意是網(wǎng)�����,這里多指萬維網(wǎng)�����,是由許多互相連接的超文本系統(tǒng)組成的�,通過互聯(lián)網(wǎng)訪問。刷新后可以看到瀏覽器發(fā)送了很多請(qǐng)求��。同理可以查看和等各種文件格式���。
Web安全基礎(chǔ)
00 Web介紹
00-00
Web本意是網(wǎng)��,這里多指萬維網(wǎng)(World Wide Web)���,是由許多互相連接的超文本系統(tǒng)組成的����,通過互聯(lián)網(wǎng)訪問���。
Web是非常廣泛的互聯(lián)網(wǎng)應(yīng)用��,每天都有數(shù)以億萬計(jì)的Web資源傳輸��。
我們平時(shí)通過瀏覽器上網(wǎng)都屬于Web�����。
PS:萬維網(wǎng)和互聯(lián)網(wǎng)���、因特網(wǎng)又有什么聯(lián)系呢?
?
00-01 Web發(fā)展史
Web1.0
初期��;
-
典型示例:
-
安全問題:
-
SQL注入
-
上傳漏洞
-
文件包含
-
掛馬��、暗鏈
-
命令執(zhí)行
-
(主要危害Web服務(wù)器)
一般就是提供靜態(tài)的頁面給用戶,而且這種信息只能夠閱讀�,不能夠修改或添加。
Web2.0
如今��;
-
典型示例:
-
安全問題:
-
(更復(fù)雜�,逐漸針對(duì)Web用戶
-
釣魚
-
URL跳轉(zhuǎn)
-
數(shù)據(jù)劫持
-
框架漏洞
-
CSRF
-
XSS
-
邏輯漏洞
Web安全形勢(shì)不容樂觀,數(shù)量迅速增長�����,種類迅速增多����,從針對(duì)Web服務(wù)器到Web用戶����,所以Web安全知識(shí)比較重要。
00-02 Web工作流程
以點(diǎn)餐類比
?
?
?
通常我們作為客戶��,只需要向服務(wù)員點(diǎn)餐��、服務(wù)員上餐就可以了��,而如果想要了解全過程����,那Web的后續(xù)和餐廳訂餐的后續(xù)也是很像的�。
下面是Web提供服務(wù)的標(biāo)準(zhǔn)流程:
?
?
這里也分為客戶端和服務(wù)端��。
上面的安全問題也可以以此劃分��。
?
?
00-03 瀏覽器
工作原理
我們?cè)L問一個(gè)網(wǎng)站����,輸入的是一個(gè)URL(域名/網(wǎng)址),瀏覽器是無法通過我們輸入的URL找到相應(yīng)的Web服務(wù)器的����,它只能通過IP地址才能找到Web服務(wù)器。
所以第一步����,瀏覽器先通過URL獲取Web服務(wù)器的IP地址(也稱DNS解析);
第二步����,才是通過解析得到的IP地址,訪問Web服務(wù)器���。
工作示例
我們打開瀏覽器��,輸入:https://www.cnblogs.com/Roboduster
瀏覽器收到這個(gè)URL����,會(huì)先進(jìn)行上面說到的DNS解析,通常情況下�,瀏覽器會(huì)先向DNS服務(wù)器發(fā)送解析請(qǐng)求,請(qǐng)求查詢這個(gè)URL的IP地址�����。
DNS服務(wù)器處理完成后�����,返回這個(gè)IP地址�。
瀏覽器接收這個(gè)信息���,并據(jù)此找到WEB服務(wù)器�����。
之后�,需要根據(jù)HTTP協(xié)議進(jìn)行通訊�。
瀏覽器先發(fā)送一個(gè)HTTP請(qǐng)求���,服務(wù)器處理完后,會(huì)返回一個(gè)HTTP響應(yīng)給瀏覽器����。
操作演示
我們打開https://www.cnblogs.com/Roboduster
按F12(自行找到開發(fā)者工具),選中網(wǎng)絡(luò)這一格
?
?
然后我們��,找到左側(cè)的all(全部)�,點(diǎn)擊,刷新該頁面�����。
?
?
刷新后可以看到瀏覽器發(fā)送了很多請(qǐng)求�����。這些請(qǐng)求就是我們說的HTTP請(qǐng)求�。
我們選中左側(cè)的任何一個(gè)js文件,右側(cè)標(biāo)頭(head)里可以看到請(qǐng)求的詳細(xì)信息�。響應(yīng)里有這個(gè)js經(jīng)過壓縮的樣子。預(yù)覽可以看到好一點(diǎn)的代碼風(fēng)格��。
?
?
同理可以查看CSS和img等各種文件格式。
最重要的是我們需要關(guān)注上方的文檔(Doc)�����,這是我們請(qǐng)求的主頁面�,我們可以在下面的計(jì)時(shí)(timing)查看請(qǐng)求的耗時(shí)
?
?
在標(biāo)頭里我們可以看到遠(yuǎn)程地址,這里就是所請(qǐng)求的IP對(duì)應(yīng)的服務(wù)器的地址
在響應(yīng)里可以看到我們請(qǐng)求得到的數(shù)據(jù)體
00-04 留一個(gè)問題
通過上面的操作我們可能會(huì)有疑問����,我們查看的是HTTP響應(yīng),這里是相應(yīng)的數(shù)據(jù)流��,而我們平時(shí)上網(wǎng)看到的是各色各樣的Web頁面��。
那么瀏覽器是如何將服務(wù)器返回的HTTP響應(yīng)轉(zhuǎn)換成我們看到的頁面的呢�?
這就涉及各種標(biāo)準(zhǔn)和技術(shù):HTML、JS��、CSS等���;這些東西將響應(yīng)渲染成特定的頁面給用戶。
?
?
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/123983.html
