安全入門之web基礎3

2021-10-07 20:42:19 字數 2389 閱讀 4444

二、http

5.ip屬性

ftp(檔案傳輸協議)是tcp/ip協議組之一,它由ftp伺服器ftp客戶端組成,使用者可以使用ftp客戶端通過ftp協議訪問ftp伺服器資源。

預設情況下ftp協議使用tcp埠中的2021兩個埠,20埠用於傳輸資料,21埠用於傳輸控制資訊

ftp協議支援兩種模式–port模式passive模式。具有兩種傳輸方式–ascii傳輸方式和二進位制傳輸方式。

在http的基礎上通過傳輸加密身份認證的方式保證了傳輸過程的安全性。其安全基礎是ssl

使用https協議的客戶端和伺服器在進行資料傳輸時,會通過基於x.509證書對雙方進行身份認證

http請求方法– 鏈結

http狀態碼– 鏈結

請求報文中各屬性的含義: 屬性

含義user-agent

瀏覽器名稱及版本

host

伺服器位址

cookie

伺服器給客戶端的身份認證

x-frame-options

指示乙個頁面可否在 < frame>, 或者 < object> 中展現

響應包中各屬性的含義: 屬性

含義server

伺服器名稱及版本

content-type

響應正文的型別

指示客戶端指令碼是否可以訪問cookie

- 轉前 s 1 3  //3個位元組,乙個位元組佔8位

- 先轉成ascii 對應 115 49 51

- 3組2進製 01110011 00110001 00110011

- 拆成4組 011100 110011 000100 110011

- 高位補2個0得 00011100 00110011 00000100 00110011

- 得到10進製數 28 51 4 51

- 查對下照表 c z e z

公開金鑰加密 == 非對稱性加密 (傳送方和接收方採用不同的key)

公開金鑰加密有2個應用,其一是加密通訊,其二是數字簽名。其安全性基於數學原理,但是不能由公鑰算出私鑰,所以加密演算法都是基於一些目前無解的數學問題。

加密通訊,是採用公鑰加密,私鑰解密

加密通訊就是傳送者(客戶端)用接收者(伺服器)的公鑰去加密資訊,接收者用自己的私鑰去解密資訊。

加密通訊的過程如下:

伺服器首先生成2個金鑰,包括乙個公鑰,乙個私鑰,其中私鑰可以算出公鑰。然後伺服器吧公鑰傳送給客戶端,客戶端通過公鑰加密自己要發給伺服器的資料,伺服器拿到加密的資料後,用私鑰解密。

數字簽名,是採用私鑰加密,公鑰解密。私鑰加密過程是通過簽名演算法來生成數字簽名,公鑰解密過程是通過驗證演算法來確定數字簽名是不是私鑰簽署的。

數字簽名就是發出資訊的人(有公鑰和私鑰),用自己的私鑰簽署資訊即可生成一段資料,這段就是數字簽名。將公鑰公開後,擁有公鑰的人就可以解密數字簽名,來確認資訊是不是由私鑰持有人發出的

數字簽名有三個作用,認證、防止抵賴、保證檔案完整性。數字證書是乙個由可信的第三方發布的用來證明身份以及擁有這個公鑰的電子檔案。

證書上同時帶有所有人(持有人)資訊和公鑰以及數字簽名,數字簽名保證了證書是不可篡改的。該證書就繫結了所有人和公鑰之間關係

ca是證書的簽發機構,是乙個負責簽發,管理,認證已頒發的證書的機構。由ca頒發的證書都稱為ca證書,ssl證書是ca證書的一種。ssl證書是使用於https條件下的數字證書,其作用是驗證伺服器的身份。過程如下:

伺服器首先到ca機構申請ssl證書,然後給訪問者傳送ssl證書,瀏覽器認證了ssl證書的真實性後生成金鑰傳送給伺服器,這時伺服器和客戶端同時擁有乙個金鑰,通訊過程採用對稱加密的方式。(對稱加密比非對稱加密的效率高)

WEB安全入門

黑客通過輸入提交 特殊資料 特殊資料在資料流的每個層處理,如果某個層沒處理好,在輸出的時候,就會出現相應層的安全問題。精彩舉例 1.如果在作業系統層上沒處理好,比如linux的bash環境把 特殊資料 當做 指令執行時,就產生了 os命令執行的安全問題,這段 特殊資料 可能長得如下這般 rm rf ...

前端web安全 XSS漏洞基礎入門

前言 xss漏洞 xss cross site scripting 意為跨站指令碼攻擊,為了不和層疊樣式表 cascading style sheets,css 的縮寫混淆,故將跨站指令碼攻擊縮寫為xss。xss漏洞是一種在web應用中常見的安全漏洞,它孕育使用者將惡意 植入web頁面,當其他使用者...

Web安全基礎

http 讀書筆記及總結 從整體上看,http就是乙個通用的單純協議機制,具備較多優勢,但在安全性方面則呈劣勢。比如現在web 都會使用的會話管理 session 加密處理等安全性的功能,http協議內並不具備,需要開發者自行設計並實現。通過url查詢欄位或表單,http首部,cookie等途徑把攻...