小迪安全笔记（2）——web应用&架构搭建&漏洞&HTTP数据包&代理服务器

1. Web应用环境架构类

   • 开发语言：php、java、python、ASP、ASPX等
   • 程序源码：用的人多了，就成CMS了。
   • 中间件容器：IIS、Apache、Nginx、Tomcat、Weblogic、Jboos、glasshfish等
   • 数据库类型：Access、Mysql、Mssql、Oracle、Redis、MongoDB等.
   • 服务器类型：windows、linux、mac系列
   • 第三方软件：phpmyadmin、vs-ftpd等

   建站步骤：

   1. 买一个域名、服务器；
   2. 使用宝塔一键化搭建网站。

   一个域名绑定一个IP下的某个目录，一个IP下可以有多个网站。

2. web应用安全漏洞分类

   • SQL注入
   • 文件安全
   • RCE执行
   • XSS跨站
   • CSRF/SSRF/CRLF
   • 反序列化
   • 逻辑越权
   • 未授权访问
   • XXE/XML
   • 弱口令安全

3. 电脑端和手机端显示的网页不一样的原因：二者访问时，发送的请求包不一样。

4. 模拟器抓包：模拟器相当于重开了一个设备，跟主机的关系是类似于vmware中的NAT连接，所以wifi那儿设置代理地址是本机的地址及相应的端口，然后burp监听本机IP及相应端口。

5. web请求返回过程数据包参考：web请求参考资料1、web请求参考资料2

6. HTTP响应码相关知识：

   • 文件夹存在响应码：403，文件夹不存在响应码：404
   • 文件存在响应码：200，文件不存在响应码：404。
   • 3XX：跳转，判断可有可无（不能放过）；
   • 5XX：内部错误、服务器问题，判断可有可无（不能放过）。

7. 远程代理网站：快代理