先宣传一下我的新书,终於出来惹,感动到无法言语>"<
还请大家多多支持!
WebSecurity 网站渗透测试:Burp Suite 完全学习指南 (iT邦帮忙铁人赛系列书)
https://www.tenlong.com.tw/products/9789864348831?list_name=lv
回到这系列文章,我们从网路跳到了网页~也就是我们常说的Web,
同样网页并不是直接与资安相关联,但也是不少的资安职缺需要具备的基础知识。
今天内容也都是很简易的暖身题~
照惯例,每篇文章都会附上第一篇的文章,让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252
HTTP是WEB传输讯息的协定,为第七层的协定,并且内容为明文。而HTTPS则为HTTP的明文内容利用SSL/TLS加密过後的协定。
stateless无状态的。每个请求之间为相互独立。
HTML描述了这个网站的节点元素架构,CSS则可以调整元素的显示外观,JavaScript则是可以动态执行操作的脚本语言。HTML像是骨干、CSS是外壳、JS是神经系统。
前端是直接面对客户端的,会传送到浏览器显示,使用者可以从浏览器看到的内容,通常前端使用HTML/CSS/JavaScript。後端则是於服务器处理,例如一些功能与资料储存等等,这些後端语言与处理的流程,是无法从客户端所看到或是显示的。
httponly若设定,则JavaScript无法针对这个Cookie进行操作,通常是用来防御XSS的;Secure属性若设定,则此cookie无法在HTTP当中传输,只能在HTTPS当中传输,是为了避免HTTP明文传输的过程当中,造成cookie的资讯泄漏。
所谓同源政策,是规范了网域之间资源存取的限制规则,也就是同源的资源才可以互相存取,而非同源则不行。同源的定义为协定、Domain、Port,三者要相同。
RFC26216标准定义为GET/POST/HAED/OPTIONS/TRACE/DELETE/PUT/CONNECT八个,常见的方法为GET跟POST。
200 OK表示正常回应、404表示找不到资源、301与302为转址回应、500表示服务器错误、403是表示没有存取该资源的权限。
HTTP的请求与回应当中都可以加上HTTP Header,Security Header是某些加上之後,可以相对应执行一些防御机制的Header。例如像是HSTS,是强制使用HTTPS连线;X-Frame-Options可以防御Clickjacking;Content-Security-Policy则通常被用来防御XSS。
没意外的话,明天开始会是连续几天的渗透测试篇
若有要补充也都欢迎留言
<<: Day 05:是说,这个选项可以接什麽东西?autocomplete 与 auto-pair
Transition 使用 昨天讲到元素的变形,而今天的 Transition 就是使用在元素改变时...
Dao物件的提取 Dao类的物件用来访问DB,我们可以把其中常用的、重复性的代码抽取出来。 新建抽象...
这是我很喜欢的主题,但今天依旧不舒服而且我队友不安ㄌ只好先断尾求生 InnoDB InnoDB 是...
可能是我半夜发文的关系 所以超过十二点了 铁人赛给我失败了 不过也没关系拉我继续记录 今天继续看fl...
前言 之前使用官方范例後,再转到实际环境,发现仍有不同,於是再看看资料吧! 观察历史资料 废话不多说...