平凡的脚步也可以走完伟大的行程

DNSResponse：标识该消息为查询消息还是响应消息Opcode ：标记了查询消息的状态0 ：标准查询1：逆向查询2：服务器请求状态3：未分配4：通告5：更新6-15：未分配响应消息0 ：没有错误1：格式错误2：服务器故障3：域名错误4：未使用5：拒绝TYPE类型FTP21 port 控制信道20...

协议头部参数分析TCP[13]==2协议分层端点往返时间图X - TCP 序列号Y - RTT 时间数据流图时序图Follow TCP Stream红色：客户端蓝色：服务器...

BPF 伯克利数据包过滤器抓包过滤器1：标识符2：修饰符类型 （host，port，net） 方向 （src，dst） 协议 （http，arp，tcp）运算符：and 两个条件同时满足 or 其中一个条件被满足 xor 有且仅有一个条件被满足 not 没有条件被满足协议头部参数的抓包过滤器proto [ offset : size (...

eNSP下载地址：链接: https://pan.baidu.com/s/17IUasm3Yh7rRjB37Te9syg提取码: 52c4链接：https://pan.baidu.com/s/19igKz0Ef59oZX1_hgeMJ3Q提取码：g1wi

Pfx证书，同时包含了公钥信息和私钥信息Cer证书只包含公钥信息如果客户端与网站通信时需要用到私钥（基本所有需要数字证书的网站都会用到私钥），则cer证书是无法正常访问网站的，网站会提示“该页要求客户证书”由于cer证书只包含公钥信息，一般只能用于解密使用（解密该公钥对应的私钥加密的数据）。证书格式转换：https://www.chinassl.net/?f=ssl_p...

HTTP 不具备必要的安全功能HTTP 就是一个通用的单纯协议机制。远程登录时会用到的 SSH 协议,SSH 具备协议级别的认证及会话管理等功能,HTTP 协议则没有。另外在架设 SSH 服务方面,任何人都可以轻易地创建安全等级高的服务,而 HTTP 若想提供服务器基础上的 Web 应用,很多情况下都需要重新开发。在客户端即可篡改请求针对 Web 应用的攻击模式主动攻击...

消除 HTTP 瓶颈的 SPDYGoogle 在 2010 年发布了 SPDY(取自 SPeeDY),其开发目标旨在解决 HTTP 的性能瓶颈,缩短 Web 页面的加载时间(50%)。为尽可能实时地显示这些更新内容,服务器上一有内容更新,就需要直接把那些内容反馈到客户端的界面上。使用 HTTP 协议探知服务器上是否有内容更新,就必须频繁地从客户端到服务器端进行确认。HTTP 标准就会成...

认证密码:只有本人才会知道的字符串信息。动态令牌:仅限本人持有的设备内显示的一次性密码。数字证书:仅限本人(终端)持有的信息。生物认证:指纹和虹膜等本人的生理信息。IC 卡等:仅限本人持有的信息。Web 服务器与通信客户端之间进行的认证方式。DIGEST 认证(摘要认证)DIGEST 认证同样使用质询 / 响应的方式(challenge/response),但不会像 BAS...

HTTP 的缺点通信使用明文(不加密),内容可能会被窃听不验证通信方的身份,因此有可能遭遇伪装无法证明报文的完整性,所以有可能已遭篡改HTTP 报文使用明文(指未经过加密的报文)方式发送。通信的加密一种方式就是将通信加密。HTTP 协议中没有加密机制,但可以通过和 SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Sec...

用单台虚拟主机实现多个域名HTTP/1.1 规范允许一台 HTTP 服务器搭建多个 Web 站点。如提供 Web 托管服务的供应商,可以用一台服务器为多位客户服务,也可以以每位客户持有的域名运行各自不同的网站。这是因为利用了虚拟主机(Virtual Host,又称虚拟服务器)的功能。域名通过 DNS 服务映射到 IP 地址(域名解析)之后访问目标网站。可见,当请求发送到服务器时,已经是以...

HTTP 状态码负责表示客户端 HTTP 请求的返回结果、标记服务器端的处理是否正常、通知出现的错误等工作。状态码告知从服务器端返回的请求结果状态码的职责是当客户端向服务器端发送请求时,描述返回的请求结果。借助状态码,用户可以知道服务器端是正常处理了请求,还是自己出现了错误。状态码的类别类别...

HTTP报文HTTP 报文大致可分为报文首部和报文主体两块。请求报文及响应报文的结构编码提升传输速率1. 报文主体和实体主体的差异2. 压缩传输的内容编码 HTTP 协议中有一种被称为内容编码的功能也能进行类似的操作。3. 分割发送的分块传输编码把实体主体分块的功能称为分块传输编码(Chunked TransferCoding)。每一块都会用十六进制来标记...

HTTP 是不保存状态的协议HTTP 是一种不保存状态,即无状态(stateless)协议。HTTP 协议自身不对请求和响应之间的通信状态进行保存。也就是说在 HTTP 协议对于发送过的请求或响应都不做持久化处理。HTTP 协议自身不具备保存之前发送过的请求或响应的功能使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信息。这是为...

HTTP(HyperText Transfer Protocol,超文本传输协议 1 )的协议作为规范,完成从客户端到服务器端等一系列运作流程。而协议是指规则的约定。可以说,Web 是建立在 HTTP 协议上通信的。WWW 构建技术,分别是:把 SGML(StandardGeneralized Markup Language,标准通用标记语言)作为页面的文本标记语言的HTML(HyperTe...

网易WEB白帽子05 WEB安全体系建设SDL 安全开发生产周期提升WEB应用的安全性 减少WEB应用的的安全漏洞 降低安全漏洞的修复成本SRC 安全应急响应中心WAF WEB安全应用防火墙...

网易WEB白帽子03 WEB安全工具1. 浏览器内容设置允许弹窗 可运行Javascript脚本内容设置www.hackthissite.org插件HackBarAdvanced Cookie Manager Proxy Switcher 网络代理2. 代理抓包工具HTTP代理抓包工具(*Burpsuite)代理端口设置3. 敏感文件...

网易WEB白帽子02..WEB安全基础1.钓鱼诱惑性的标题，仿冒真实网址，骗取用户账户，骗取用户资料2.网页‘篡改’hacked byIntitle : keyword 标题中还有关键字的网页Intext : keyword 正文中还有关键字的网页Site : domain 在某个域名或者子域名下的网页3. 暗链隐藏在网站中的链接网游/医疗/博彩/色情...

### 1：web基础知识### www 万维网### 前端/客户端#### 钓鱼，暗链，XS，点击劫持，csrf，URL跳转### 后端/服务端#### SQL注入，命令注入，文件上传，文件包含，暴力破解### DNS域名解析### URL协议（定位服务器的资源）#### 统一资源定位符（HTTP,HTTPS,FTP）### HTTP协议#### 超文本传输协议##...