网安学习(一)
环境搭建与基本工具使用 工欲善其事,必先利其器。
在开始正式的学习之前,一些工具是必不可少的。这包括VM ware虚拟机,php study,Burp Suite,Wireshark,中国菜刀及其它。
vm虚拟机中安装kali Linux,并安装vm tools,以便后续的文件传输,中文设置,网上有很多相关的教程,在此不再赘述。
php study安装的前提条件是有python环境,在此建议python2和python3最好都安装一个版本,不同的软件对python版本的需求不同,提前准备,以便不时之需。
Burp Suite之前用过一些比较老的版本,例如1.7,这次换上了2.1版本的,还是觉得有一些不同,最起码界面好看了些,由于使用的是破解版,需要加载器,对Java的版本也有要求,之前用的jdk13现在倒不适合了,只好改用jdk u181,实属无奈之举,新的版本删除了旧版本的语句,加载的时候实在不行。还有汉化的包,由于对web方面的单词实在没什么接触,还是索性用了中文,看着舒服多了,最后用一个vb脚本来引导启动。
感谢对软件做出种种贡献的开发者们,可以让我们用到好用的软件。
最后的文件见下图关于Burp Suite(以后简称bp)的简单抓包使用,网上也有教程,很简单,这里稍微讲一下。
文章图片
这是软件的开始界面,UI相较于之前有所改进。
文章图片
首先,你要通过某种方式,把网站的请求先经由本地,这种分手可以但不限于浏览器插件,例如Google chrome的
Proxy SwitchyOmega,火狐插件,以及bp插件,更改IE的代理设置为本地(127.0.0.1)等等。
之后就是在bp的代理(Proxy)选项卡这里看到你抓的包,至于之后是放包(Forward),还是废包(Drop),或者发送到其他模块,就是后话了。
文章图片
HTTP/HTTPS协议介绍 HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。
HTTP协议就如同其他协议一样,例如IP/TCP协议,构成了网络的全部。
HTTP有很多的版本,现在常见的是1.1版本,至于更新的2.0版本,目前我还没见过(其实就没见过几个网站,笑~)。
HTTP的工作流程
文章图片
有点复杂,不过多解释,以免出错。
B/S架构(Browser/Server):较新下来算是重点了。
C/S架构(Client/Server):较老
就这了,不是很了解,细谈又一大堆,具体Google。
HTTP消息结构 首先是关于URL(uniform resource locator,统一资源定位系统)
格式如下
文章图片
HTTP请求
文章图片
有时候flag会在返回(Reponse)的信息中,这就要求我们可以正确的把他请求(Request)出来。
HTTP请求头字段 HTTP请求方法(区分大小写)
- OPTIONS
- HEAD
- GET
- POST
- PUT
- DELETE
- TRACE
- CONNECT
- User-Agent :浏览器表明自己的身份(是哪种浏览器)。
- X-Forwarded-For :HTTP 请求端真实 IP。
- X-Client-IP :获取客户端真实IP。
- Accept-Language :浏览器申明自己接收的语言 。
- Cookie :
- Accept-Encoding :浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate)。
- Content-Type :WEB 服务器告诉浏览器自己响应的对象的类型。
- Referer :浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。(上一个网页)
学习之路艰辛不易,希望自己能够坚持下去。
【网安学习(一)】由于时间仓促,可能会有所纰漏,如发现后,请不吝赐教,感激不尽。
推荐阅读
- 小白自学网安日记
- 网络安全|2021web安全最全学习路线,从入门到入职(含书籍、工具包)
- 渗透测试|2021年网络安全学习路线指导(含视频教程)
- 【计算机网络】Https 的原理
- 网络安全|我的网络安全学习之路
- java学习之路|win10操作系统如何把用户名改成英文的
- 学习笔记02
- 安全生产一点通题库|2021年N1叉车司机考试报名及N1叉车司机免费试题
- spring源码|Spring源码解析十八
- #|C语言每日一练——第140天(抓交通肇事犯)