123456789101112131415•get:向特定资源发出请求(请求指定页面信息,并返回实体主体);•post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改;•head:与服务器索与 get 请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与 get 请求类似,返回的响应中没有具体内容,用于获取报头);•put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与 post 的区别是 put 为幂等,post 为非幂等;•trace:回显服务器收到的请求,用于测试和诊断。trace 是 http8 种请求方式之中最安全的•delete:请求服务器删除 request-URL 所标示的资源*(请求服务器删除页面)•option:返回服务器针对特定资源所支持的 HTML 请求方法 或 web 服务器发送*测试服务器功能(允许客户 端查看服务器性能);•connect : HTTP/1.1 协议中能够将连接改为管道方式的代理服务器
一个post的请求包:
一个GET的请求包:
网 ...
123456在一般的url可能如下:www.xxx.com/index.php?id=1如果是进行一下编码:www.xxx.com/index.php?id=MQ==也就是说,如果我们想要进行测试,需要将自己的传参也进行同样的编码或者加密,不然对方接收不了该值。
案例1:zzcms正常使用md5进行加密
案例2:Discuz3.2md5+salt(盐)
案例3:Discuz3.5AES加密
windows和linuxwindows:NTLM加密
linux:sha256
各种密文的特点12345678910111213141516171819202122232425262728293031323334353637单向散列加密算法的优点有(以MD5为例):方便存储,损耗低:加密/加密对于性能的损耗微乎其微。单向散列加密的缺点就是存在暴力破解的可能性,最好通过加盐值的方式提高安全性,此外可能存在散列冲突。常见的有:MD5 SHA MAC CRC对称加密优点是算法公开、计算量小、加密速度快、加密效率高。缺点是发送方和接收方必须商定好密钥,然后使双方都能保存好密钥,密钥管理成为双方的负担。常见的有:DES AES RC4非对称加密 -RSA非对称加密的优点是与对称加密相比,安全性更好,加解密需要不同的密钥,公钥和私钥都可进行相互的加解密。缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密。常见的非对称加密算法:RSA RSA2 PKCSMD5密文的特点:1.由数字“0-9”和字母“a-f”所组成的字符串2.固定的位数 16位和 32位解密需求:密文即可,但复杂明文可能解不出Base64编码特点:0.大小写区分,通过数字和字母的组合1.一般情况下密文尾 ...
安装各个抓包的https证书茶杯(Charles)茶杯就不像Fidder需要设置系统代理
这里需要手动给一下文件名:
然后下载一个逍遥模拟器,,通过逍遥模拟器的共享目录,将主机上的pem文件上传到逍遥模拟器中:
这里我新版的逍遥模拟器没有代理选项,所以我选择下载一个旧版本的
1https://bbs.xyaz.cn/thread-76-1-1.html
下载第三次才下载对版本:
我下载这个版本可以代理。。。
下载之后,还是老样子,先把pem文件上传到共享目录,然后设置一个锁屏密码,然后在安装证书:
选择安全:
从SD卡里安装:
共享音乐:
进去之后,双击那个证书,然后就会让你填写锁屏密码,填好之后,给证书起一个名字。
抓包案例:
茶杯抓取小程序
Fiddler他这个工具的代理,建议使用系统的代理就是,然后编写的规则也要按照他的规则去写:
如果最开始你的这里的将证书导出到桌面,这个按钮的状态是灰色的,那么你先重置所有证书,我猜测就是有的地方下载的fidder默认就是帮你安装好了证书,所以就需要继续重置。
然后还是和茶杯一样的安装证书的方法,将其安装导入 ...
上一章学的是各种工具抓取http的数据包,但是不是所有的应用都是使用http进行传输。所以需要其他抓包工具来进行数据的抓取
科来和wireshark首先使用科来抓取到对应的数据包,wireshark也可以抓取到,但是wireshark是一下子把所有的数据包都抓取到,所以这里使用科来,他可以针对某个游戏应用单独进行抓包,比较直观。
这里抓取欢乐斗地主的小程序。先从科来抓取到对应的IP,然后在去wireshark里面进行单独的查找。
封包工具使用这个工具,主要是观察数据包的走向,以及抓取ip地址域名等资产
前后端分离前后端分离是一种软件开发架构模式,它将应用程序的前端(用户界面和用户体验部分)和后端(数据处理和业务逻辑部分)进行解耦,使两者可以独立开发、部署和扩展。
12345678910前端(Frontend): 职责:负责用户界面(UI)和用户体验(UX),处理用户输入、展示数据,并与后端通过API进行交互。 技术栈:常用技术包括HTML、CSS、JavaScript,以及现代前端框架如React、Vue.js、Angular等。后端(Backend): 职责:处理业务逻辑、数据存储、安全验证、API服务等核心功能。 技术栈:常用语言包括Java、Python、Node.js、Go等,框架如Spring Boot、Django、Express等。API(应用程序接口): 作用:作为前后端通信的桥梁,定义数据格式(如JSON、XML)和交互协议(如RESTful、GraphQL)。
总结来说,就是前端只是用来展示界面,后端是一个单独的程序可以通过修改数据的方式影响前端,将前端和后端连接的是api接口。
对于安全的影响
1231.前端页面大部分没有漏洞2. ...
APP应用开发架构1、原生开发
安卓一般使用java语言开发,当然现在也有kotlin语言进行开发。如何开发就涉及到具体编程了,这里就不详说了。简单描述就是使用安卓提供的一系列控件来实现页面,复杂点的页面可以通过自定义控件来实现。
2、使用H5语言开发
使用H5开发的好处有很多,可多端复用,比如浏览器端,ios端,当然H5开发的体验是没有原生好的。结合我做过的项目来说,一般是这个页面需要分享出去的话,就用H5开发。
3、使用flutter开发
flutter是近年来谷歌推出的一款UI框架,使用dart语言进行开发,支持跨平台,weight渲染直接操作硬件层,体验可媲美原生。但是flutter技术比较新,生态还不完善,开发起来效率相对偏低。
4、常规Web开发
Web App软件开发简单地说,就是开发一个网站,然后加入app的壳。Web App一般非常小,内容都是app内的网页展示,受制于网页技术本身,可实现功能少,而且每次打开,几乎所有的内容都需要重新加载,所以反应速度慢,内容加载过多就容易卡死,用户体验差,而且app内的交互设计等非常有效。但开发周期长端,需要的技术人员少,成本低。 ...
正/反向shell12客户端-->发送shell-->服务端服务端-->反馈客户端发送的指令-->客户端
反向shell:
123客户端接收(监听)-->服务端进行发送数据-->回馈客户端好处:一般的防火墙都是不允许外部连接内部,所以这个时候如果用服务器主动去访问外网,就可以绕过防火墙禁止外网连接内网的需求。但是有可能内网不可以出网,所以这个时候还可以尝试frp(内网穿透)
跟正反代理的区别12345回顾一下正反代理的原理:正向代理:客户端通过代理服务器,访问服务器端,这种是解决客户端访问不到服务端的需求,所以需要一台可以访问到目标服务器的代理服务器来进行正向代理。这种方式是:客户端-->代理服务器-->目标服务器,这种方式客户端的流量是可以正常访问到目标服务器的反向代理:首先需求还是客户端和服务端互相不能进行访问,所以这时候需要一台两边都可以访问的代理服务器,这个时候,目标服务器将数据传输到代理服务器上,然后代理服务器就约等于目标服务器,所以客户端就可以访问代理服务器上的资源,来达到使用目标服务器上的业务。跟正向的区别 ...
WAF
特性
软件WAF
硬件WAF
部署方式
安装在通用服务器或云平台上,作为应用程序的一部分运行
作为专用网络设备部署,通常位于网络边缘或数据中心入口
性能
性能取决于服务器硬件配置,可能引入一定延迟
专用硬件优化,提供高性能和低延迟,适合高流量场景
灵活性
高度灵活,可轻松扩展和定制规则,支持云原生和容器化环境
灵活性较低,规则更新和配置变更可能需要物理访问或专门的管理界面
成本
初始成本较低,适合预算有限的中小型企业
初始成本较高,包括硬件采购和维护费用,适合对性能和安全性要求高的大型企业
维护
需要定期更新软件和安全规则,依赖运维团队的技术能力
通常由供应商提供维护和支持,规则更新可能更自动化
可扩展性
易于通过增加服务器资源或水平扩展来应对流量增长
扩展性受限于硬件性能,可能需要购买更高级别的设备
典型场景
云服务、中小企业网站、开发测试环境
金融机构、电商平台、政府机构等对安全性要求极高的关键业务系统
软件WAF:安全狗,D盾,云锁等
硬件型WAF:以硬件形式部署在链路中,支持多种部署方式,当串联到链路时可以拦截恶意流量,在旁路监听 ...
