2020/1/14

日报内容详情:

日期：2020/1/14
上午:
1.今天就开始讲web安全了，现在大多数的服务器都是有很多层waf，来防止我们这些初学者去对于网站进行破坏，接入讲述了web框架的实验拓扑图的大概流程。随后进行HTTP协议的介绍，讲述HTTP的协议结构。
2.讲述了HTTP连接的基本操作:

先客户端发送连接请求给服务器，服务器收到后，返回确认码和请求确认码，客户端收到请求确认后，进行确认，然后就发送再次确认码，传输给服务器，其后服务器和客户端都进入数据传输状态。

3.HTTP请求报文格式：
请求行、请求头部、实体部分。
请求方法-url-http版本
请求方法:Option、Get、Head、Post、Put、delete等等，常用的方法是Get、Post。
4.cookie字段(限制长度):
用户的身份凭证。
在后面加上http only，如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。
Cookie可以保持登录信息到用户下次与服务器的会话。

5.返回码：
200是ok。
404是未找到网页。
503是服务不可用。
3xx是重定向需要进一步操作。
400(错误请求)服务器不理解请求的语法。

下午:
1.简单介绍了一下常见信息收集类工具：
nmap工具、whois工具等等。
详细讲述了一下curl了的使用和功能。

2.然后漏洞扫描工具介绍：
AWVS工具
Nssus工具
aapscan
3.常见漏洞利用工具介绍：
中国菜刀(不推荐)、antsword、Behinder
sqlmap：sql注入漏洞来接管数据库。
穿山甲：是注入验证利用工具，是目前已有的sql注入工具中最好之一。
strurs2终极漏洞工具，使用于java开发的网站。

4.常见平台工具:
burp suite：用于攻击web应用程序的集成平台。
Metasploit：是一款框架型的渗透工具。

5.练习了使用bp来对于有远程文件传输漏洞的phpstuay进行了测试，能够熟悉基本的操作，认识了bp的大致功能模块，顺便熟悉了一下一句话的木马编写。

总结：这次的课程让我们熟悉到了更多的软件的使用，也对于HTTP连接的过程有了一定的了解，对于web安全的步骤有一个一个初步的认识，这很重要，以后思考起来这个方面问题肯定能更简单。