web安全学习一

WAF:web应用防御系统(网站应用级入侵防御系统)

OpenRASP:应用运行时自我保护

KONG:AIP网关

星云(TH-Nebula):

主机加固:

  • linux主机os主机层面加固

禁止root登录、vi /etc/ssh/sshd_config、禁用LKM、开启ASLR

代码审计:VCG、rips

 

一、http请求时相关重要参数

1、X-Forwarded-For:ip伪造参数

2、Referer:发出请求的原始url(上级页面请求来源)

3、User-Agent:请求时客户端软件信息

4、Host:访问的主机名称

5、Options:发起一个预请求

6、Secure:只能在https中提交cookie

7、httponly:禁止客户端直接访问cookie

8、WWW-Authenticate:这个消息头用在带401状态码的响应中,提供与服务器所支持的身份验证类型有关的信息。

 

二、http状态码

1xx:提供信息、相应

2xx:请求被成功提交

3xx:重定向相关

4xx:客户端错误

5xx:服务端错误

1、100:当客户端提交一个包含主体的请求时.将发送这个响应,请求完成后,再由服务器返回另一个响应

2、200:成功提交请求,且响应主体中包含请求结果、一切正常

3、301:永久重定向

4、302:临时重定向

5、400:无效的http请求

6、401:服务器在许可请求前要求http进行身份认证。WWW-Authenticate消息头详细说明所支持的身份验证类型

7、403:禁止访问

8、404:所请求的资源不存在

9、405:资源被禁止、不支持这种请求方式如限制为get用post请求时

10、500:服务器内部错误

11、503:请求正常、相应失败。如死循环时

同源政策:两个url的port(主机名称)相同的话,则这两个url是同源。浏览器行为

 

指纹识别:项目框架相关

标签

发表评论