web安全

本节学习Web安全。

Web服务器通信原理#

基础#

IP#

• IP就是地址，分为内网和公网地址，下面是内网地址：
  10.0.0.0~10.255.255.255 |172.16.0.0~172.31.255.255 |192.168.0.0~192.168.255.255
• 公网地址是运营商分配的，内网地址是路由器分配的。

域名#

• 域名就是方便记忆IP的标识，使用DNS将域名转换为对应的IP地址。
• 域名分为主域名，二级域名，三级域名
  

端口#

• 端口是网络接口，网络通信最终就是通过端口通信的。
• 端口的个数：0~65535，0是预留端口，一般不用。

Mac地址#

• 是网卡的物理地址，全球唯一标识。

HTTP协议#

• 超文本传输协议（HyperText Transfer Protocol），是一种发布和接收HTML页面的方法。

• GET 是请求方式
• HTTP/1.1 是协议版本
• HOST是访问的域名
• User-Agent传参是传参告诉别人你的浏览器是什么，是什么系统呀。
• Cookie就是一个用户的凭证。就是代表你的身份，比如你登陆后，那串Cookie被人窃取了，那么利用那串Cookie，他就可以直接有你账号登陆的权限。

绝对路径和相对路径#

• 绝对路径
  就是真实路径，在计算机中的完整路径。
• 相对路径
  相对于目标位置的路径。
  
  很多网站为了安全性完全不会显示绝对路径。

Web容器#

• Web容器是可以向发出请求的浏览器提供文档的程序。
• 是一种被动程序，只有得到请求时，才会响应。
• 主要功能是存储，处理和传递网页给客户。
  
  
• 常见的Web容器
  IIS（Windows）、Apache、Nginx等

HTTP返回的状态码#

• 200：访问成功
• 302：重定向
• 403：权限不够
• 404：文件不存在
• 500：服务器内部错误

浏览器访问网页#

• 用户在浏览器输入协议://域名，如 http://www.zkaq.org
• 用户浏览器通过系统 → 向DNS服务器查询域名对应的IP地址
• 用户浏览器向查询到的IP地址(Web服务器)发起HTTP请求
• 服务器分析用户请求，从中提取数据，处理后返回一个http响应
• 浏览器收到响应后提取状态、协议编码、正文的有效信息，然后翻译成人类能够直观理解的图形界面并显示。

快读自建测试环境#

基础#

动态语言#

• 是对服务器行为的编程，被称为服务器脚本或服务器端脚本，常见的有：ASP、PHP、JSP、Python
  

• 动态语言能：
  1.动态地向 web 页面编辑、改变或添加任何的内容
  2.对由 HTML 表单提交的用户请求或数据进行响应
  3.访问数据或数据库，并向浏览器返回结果
  4.为不同的用户定制页面
  5.提高网页安全性，使您的网页代码不会通过浏览器被查看到

• 常见服务器环境搭建软件
  JSP（Tomcat）
  PHP（PHPStudy）
  PHP（Lnmp）

下面主要介绍PHPStudy搭建！

Web容器解析动态语言#

PHPStudy安装#

• 地址：https://www.xp.cn/download.html
  
• 测试：http://localhost/
  
• 加入站点
  地址：https://www.dedecms.com/download
  解压后将其放入：phpstudy_pro\WWW文件夹下：
  
  测试：http://localhost/uploads