web安全学习一
WAF:web应用防御系统(网站应用级入侵防御系统)
OpenRASP:应用运行时自我保护
KONG:AIP网关
星云(TH-Nebula):
主机加固:
- linux主机os主机层面加固
禁止root登录、vi /etc/ssh/sshd_config、禁用LKM、开启ASLR
代码审计:VCG、rips
一、http请求时相关重要参数
1、X-Forwarded-For:ip伪造参数
2、Referer:发出请求的原始url(上级页面请求来源)
3、User-Agent:请求时客户端软件信息
4、Host:访问的主机名称
5、Options:发起一个预请求
6、Secure:只能在https中提交cookie
7、httponly:禁止客户端直接访问cookie
8、WWW-Authenticate:这个消息头用在带401状态码的响应中,提供与服务器所支持的身份验证类型有关的信息。
二、http状态码
1xx:提供信息、相应
2xx:请求被成功提交
3xx:重定向相关
4xx:客户端错误
5xx:服务端错误
1、100:当客户端提交一个包含主体的请求时.将发送这个响应,请求完成后,再由服务器返回另一个响应
2、200:成功提交请求,且响应主体中包含请求结果、一切正常
3、301:永久重定向
4、302:临时重定向
5、400:无效的http请求
6、401:服务器在许可请求前要求http进行身份认证。WWW-Authenticate消息头详细说明所支持的身份验证类型
7、403:禁止访问
8、404:所请求的资源不存在
9、405:资源被禁止、不支持这种请求方式如限制为get用post请求时
10、500:服务器内部错误
11、503:请求正常、相应失败。如死循环时
同源政策:两个url的port(主机名称)相同的话,则这两个url是同源。浏览器行为
指纹识别:项目框架相关
发表评论