01 滲透測試基礎(1)

2021-10-08 00:02:54 字數 1532 閱讀 6268

http是乙個簡單的請求-響應協議,又叫超文字傳輸協議。它通常執行在tcp之上。它指定了客戶端可能傳送給伺服器什麼樣的訊息以及得到什麼樣的響應。請求和響應訊息的頭以ascii碼形式給出;而訊息內容則具有乙個類似mime的格式。這個簡單模型是早期web成功的有功之臣,因為它使得開發和部署是那麼的直截了當。

accept:瀏覽器可接受的mime型別。

accept-charset:瀏覽器可接受的字符集。

accept-language:瀏覽器所希望的語言種類,當伺服器能夠提供一種以上的語言版本時要用到。

authorization:授權資訊,通常出現在對伺服器傳送的www-authenticate頭的應答中。

cache-control 告訴所有的快取機制是否可以快取及哪種型別

content-length:表示請求訊息正文的長度。

cookie:這是最重要的請求頭資訊之一

etag 請求變數的實體標籤的當前值

host:初始url中的主機和埠。

if-modified-since:只有當所請求的內容在指定的日期之後又經過修改才返回它,否則返回304「not modified」應答。

pragma:指定「no-cache」值表示伺服器必須返回乙個重新整理後的文件,即使它是**伺服器而且已經有了頁面的本地拷貝。

referer:包含乙個url,使用者從該url代表的頁面出發訪問當前請求的頁面。

user-agent:瀏覽器型別,如果servlet返回的內容與瀏覽器型別有關則該值非常有用。

ua-pixels,ua-color,ua-os,ua-cpu:由某些版本的ie瀏覽器所傳送的非標準的請求頭,表示螢幕大小、顏色深度、作業系統和cpu型別。

靜態**是指全部由html(標準通用標記語言的子集)**格式頁面組成的**,所有的內容包含在網頁檔案中。網頁上也可以出現各種視覺動態效果,如gif動畫、flash動畫、滾動字幕等,而**主要是靜態化的頁面和**組成,一般檔名均以htm、html、shtml等為字尾。

動態**並不是指具有動畫功能的**,而是指**內容可根據不同情況動態變更的**,一般情況下動態**通過資料庫進行架構。 動態**除了要設計網頁外,還要通過資料庫和程式設計序來使**具有更多自動的和高階的功能。動態**體現在網頁一般是以asp,jsp,php,aspx等技術,而靜態網頁一般是html(標準通用標記語言的子集)結尾,動態**伺服器空間配置要比靜態的網頁要求高,費用也相應的高,不過動態網頁利於**內容的更新,適合企業建站。動態是相對於靜態**而言。

inur:php?id=

可將php換為asp等等

windows+iis+asp+access

windows+apmserv+php+mysql

windows+iis+asp+mssql

windows+tomcat+jsp+mysql

windows+asp小旋風+asp+access

linux+apache+php+mysql

搭建步驟(採用第一種方法)

01滲透測試基礎

滲透測試基礎 重要知識點 對客戶的滲透測試範圍的授權書一定要看仔細,測試範圍有哪些。發現漏洞 探測漏洞 驗證漏洞 poc 驗證漏洞需要寫的 exp 利用漏洞,在測試報告編寫情況下就不寫exp,只需要寫poc驗證存在該漏洞即可 安全術語介紹 python 1.指令碼asp,aspx,php,jsp 用...

內網滲透 內網滲透測試基礎 1

內網也指區域網 local area network 是指在某一區域內由多台計算機互聯而成的計算機組,組網範圍通常在數千公尺以內。在區域網中,可以實現檔案管理 應用軟體共享 印表機共享 工作組內的日程安排 電子郵件和傳真通訊服務等。內網是封閉的,可以由辦公室內的兩台計算機組成,也可以由乙個公司內的大...

無線滲透測試基礎1

實驗之前你需要ap,網絡卡 ap的中文名稱就是無限路由器 如果你沒有無線路由,那麼ap可以換成手機熱點 你可以在手機裡面更改通道,加密方式,頻段等等 和ap差不多 對於網絡卡你最好使用edimax型別的 這種網絡卡是為kali虛擬機器量身定製的 在windows上無法使用 手機是傳送訊號,網絡卡是接...