web安全学习一

WAF：web应用防御系统（网站应用级入侵防御系统）

OpenRASP：应用运行时自我保护

KONG：AIP网关

星云（TH-Nebula)：

主机加固：

• linux主机os主机层面加固

禁止root登录、vi /etc/ssh/sshd_config、禁用LKM、开启ASLR

代码审计：VCG、rips

一、http请求时相关重要参数

1、X-Forwarded-For：ip伪造参数

2、Referer：发出请求的原始url(上级页面请求来源)

3、User-Agent：请求时客户端软件信息

4、Host：访问的主机名称

5、Options：发起一个预请求

6、Secure：只能在https中提交cookie

7、httponly：禁止客户端直接访问cookie

8、WWW-Authenticate：这个消息头用在带401状态码的响应中，提供与服务器所支持的身份验证类型有关的信息。

二、http状态码

1xx：提供信息、相应

2xx：请求被成功提交

3xx：重定向相关

4xx：客户端错误

5xx：服务端错误

1、100：当客户端提交一个包含主体的请求时.将发送这个响应，请求完成后，再由服务器返回另一个响应

2、200：成功提交请求，且响应主体中包含请求结果、一切正常

3、301：永久重定向

4、302：临时重定向

5、400：无效的http请求

6、401：服务器在许可请求前要求http进行身份认证。WWW-Authenticate消息头详细说明所支持的身份验证类型

7、403：禁止访问

8、404：所请求的资源不存在

9、405：资源被禁止、不支持这种请求方式如限制为get用post请求时

10、500：服务器内部错误

11、503：请求正常、相应失败。如死循环时

同源政策：两个url的port(主机名称)相同的话，则这两个url是同源。浏览器行为

指纹识别：项目框架相关