Introducción a la web:
La Web es la red global de área amplia, también conocida como World Wide Web. Es una interacción dinámica global basada en hipertexto y HTTP y navegación de información que proporciona una interfaz gráfica, intuitiva y de fácil acceso. en la red están organizados en una estructura de red interrelacionada.
La World Wide Web se utiliza a menudo como sinónimo de Internet, pero la World Wide Web es fundamentalmente diferente de Internet. Internet se refiere a una red de hardware y todas las computadoras del mundo están conectadas a través de la red para formar Internet. La World Wide Web se inclina más hacia la función de navegar por páginas web.
Internet contiene Internet e Internet contiene la World Wide Web: Internet > Internet > World Wide Web.
01 Páginas estáticas y páginas dinámicas.
Página estática : en una página HTML estática, el usuario envía una solicitud de respuesta al servidor web a través del protocolo HTTP del navegador web, indicando al servidor web qué página del sitio web debe navegar y luego devuelve una página HTML al usuario de acuerdo con la Solicitud de respuesta del usuario, después de navegar. El navegador realiza el análisis y lo presenta frente al usuario.
Las páginas web estáticas no tienen archivos de bases de datos, por lo que no pueden conectarse a bases de datos de la red;
Las páginas web estáticas se desarrollan y diseñan principalmente mediante código html;
Algunas páginas web estáticas utilizan mucho código JS para que la página se vea bien, lo que da como resultado una velocidad de apertura lenta de las páginas web estáticas.
Página dinámica : en una página web dinámica, el resultado aún se puede devolver al usuario a través del protocolo html o la respuesta del protocolo https del servidor web, y todas las solicitudes del usuario deben procesarse a través del servidor web para realizarse.
La solicitud de respuesta del usuario es una página HTML estática y solo necesita responder a la solicitud. El servidor web llama al sistema el contenido de la respuesta del usuario, devuelve el contenido al navegador del cliente para su procesamiento y luego lo devuelve al usuario.
Si el usuario responde a la solicitud de un recurso de página dinámica, como .jsp/.asp/.aspx, /.php, etc., el paso de respuesta es enviar primero la solicitud del usuario al servidor web y luego al servidor web. El servidor llama los datos solicitados por el usuario desde la base de datos. Después de llamar los datos, el contenido que debe mostrarse al usuario se envía al servidor y finalmente se devuelve el contenido que debe mostrarse al usuario. al navegador del usuario a través del servidor web para su análisis y ejecución, y luego se muestra al usuario.
La diferencia esencial entre la Web 1.0 y la Web 2.0
La diferencia esencial entre los dos radica en que: la web1.0 se basa principalmente en que los usuarios obtengan información a través de un navegador; la Web2.0 presta más atención a la interacción del usuario.
URL
El localizador uniforme de recursos, comúnmente conocido como dirección de página web o URL para abreviar, es una dirección de recursos estándar en Internet, al igual que el número de una casa en Internet. Ha sido compilado por el World Wide Web Consortium como estándar de Internet RFC 1738.
Composición de URL: protocolo + host + puerto + ruta + parámetros
Puertos comunes: HTTP: 80 HTTPS: 443 MySQL: 3306
Conceptos básicos de HTML
lenguaje de marcado de hipertexto – html
Elementos HTML (etiquetas)
Este es un párrafo.
Introducción a las etiquetas HTML
El elemento define un encabezado grande.
elemento define un párrafo
Nota: En la página del navegador, use la tecla F12 en el teclado para abrir el modo de depuración y podrá ver la etiqueta del componente.
párrafo HTML
Los párrafos HTML están definidos por etiquetas.
definir,
este es un párrafo
<este es otro párrafo>
Enlace HTML
Los enlaces HTML están definidos por etiquetas.
El atributo href de la etiqueta se utiliza para especificar la URL del destino del hipervínculo. Especifique la dirección del enlace en el atributo href.
imagen HTML
Las imágenes HTML están definidas por etiquetas.
HTML - línea horizontal
Las etiquetas crean líneas horizontales en páginas HTML; el elemento Hr se puede utilizar para dividir contenido.
Comentarios HTML
Se pueden insertar comentarios en el código HTML, lo que puede mejorar su legibilidad y hacer que el código sea más fácil de entender.
Nueva línea HTML
Si queremos saltos de línea (nuevas líneas) sin generar un nuevo párrafo, utilizamos
etiquetas;
Este
párrafo
demuestra el efecto de la rama.
HTTP
¿Qué es HTTP?
El Protocolo de transferencia de hipertexto (HTTP) es un protocolo simple de solicitud-respuesta que generalmente se ejecuta sobre TCP. Especifica qué tipo de mensajes puede enviar el cliente al servidor y qué tipo de respuestas puede obtener. Se eligió el protocolo HTTP porque simplificaba mucho el desarrollo y la implementación.
¿Cómo acceder a la aplicación web?
- Escriba la URL en la barra de direcciones del navegador para visitar
- El navegador solicita al servidor DNS (Resolución de nombres de dominio) que resuelva la dirección IP correspondiente al nombre de dominio en la URL.
- Después de analizar la dirección IP, establezca una conexión TCP con el servidor según la dirección IP y el puerto predeterminado 80
- El navegador envía una solicitud HTTP para leer el archivo (el archivo correspondiente a la parte detrás del nombre de dominio en la URL) y el mensaje de solicitud se envía al servidor como el tercer mensaje del protocolo de enlace de tres vías TCP.
- El servidor responde a la solicitud del navegador y envía el texto html correspondiente al navegador.
- El navegador analiza el texto html y muestra el contenido.
El proceso de operación interna del protocolo HTTP.
El procesamiento de transacciones definido por HTTP consta de los siguientes cuatro pasos:
①El cliente establece una conexión con el servidor.
②El cliente envía una solicitud al servidor.
③ El servidor envía una respuesta al cliente.
④ Desconectar
La diferencia entre los protocolos HTTP/1.0 y HTTP/1.1
La versión HTTP 1.1 se lanzó medio año después que HTTP/1.0. El mayor cambio en esta versión es que la conexión persistente se ha unido al estándar HTTP, es decir, la conexión TCP no está cerrada de forma predeterminada y puede ser reutilizada por múltiples solicitudes. . Además, la versión HTTP/1.1 también agrega muchos métodos nuevos, como: PUT, CONNECT, HEAD, OPTIONS, DELETE. La versión HTTP/1.1, mejorada aún más, se utiliza hasta el día de hoy.
Método de solicitud HTTP
método (operación) |
significado |
CONSEGUIR |
Solicitud para obtener el recurso identificado por Request-URL (dirección de solicitud). (solicita leer la información identificada por la URL) |
CORREO |
Agregue nuevos datos después del recurso identificado por Request-URL. (Agregar información al servidor, como comentarios) |
CABEZA |
Solicite obtener el encabezado del mensaje de respuesta del recurso identificado por Request-URL. |
PONER |
Solicite al servidor que almacene un recurso y utilice la URL de solicitud como identificador. |
BORRAR |
Solicite al servidor que elimine el recurso identificado por Request-URL. |
RASTRO |
Solicite al servidor que devuelva la información de la solicitud recibida, que se utiliza principalmente para pruebas o diagnósticos. |
CONECTAR |
para servidores proxy. |
OPCIONES |
Solicitudes para consultar las capacidades del servidor o para consultar opciones y requisitos relacionados con recursos (específicos). |
La diferencia entre OBTENER y POST
diferencia de principio
El nombre completo de la URL es un descriptor de recursos. Una dirección URL se utiliza para describir un recurso en la red. GET, POST, PUT y DELETE en HTTP corresponden a las cuatro operaciones de consulta, modificación, adición y eliminación de este recurso. .
GET se usa generalmente para obtener/ consultar información de recursos; POST se usa generalmente para actualizar información de recursos.
GET debe ser seguro e idempotente cuando se utiliza para recuperar información.
①Seguridad : esta operación se utiliza para obtener información en lugar de modificarla, es solo para obtener información de recursos, al igual que la consulta de la base de datos, no modificará ni aumentará datos y no afectará el estado de los recursos.
②Idempotente : varias solicitudes a la misma URL deberían devolver el mismo resultado.
POST representa una solicitud que puede modificar un recurso en el servidor.
Las principales características del protocolo HTTP.
1. Admite modo cliente/servidor: un servidor puede atender a muchos clientes distribuidos por todo el mundo.
2. Simple y rápido: cuando un cliente solicita un servicio al servidor, solo necesita transmitir el método y la ruta de la solicitud. Los métodos de solicitud más utilizados son GET y POST.
Debido a la simplicidad del protocolo HTTP, el tamaño del programa del servidor HTTP es pequeño, por lo que la velocidad de comunicación es muy rápida.
3. Flexible: HTTP permite la transmisión de cualquier tipo de objeto de datos. El tipo que se transfiere está marcado por Content-Type.
encabezado de solicitud |
describir |
Aceptar |
Especifica el tipo de información que acepta el cliente (tipo MIME) |
Conexión |
Permite a C/S especificar opciones relacionadas con conexiones de solicitud/respuesta |
Anfitrión |
El nombre de host y el número de puerto del servidor solicitado. |
Referirse |
Contiene una URL y el usuario visita la página solicitada actualmente desde la página representada por la URL. |
Agente de uso |
El nombre de la aplicación solicitante. |
Aceptar codificación |
Dígale al servidor qué codificaciones de contenido puede aceptar |
Largancia de contenido |
Indica la longitud del cuerpo del mensaje de solicitud. |
Galleta |
Datos de autenticación proporcionados por el cliente al servidor. |
Encabezado de solicitud HTTP: cookie
Cookie HTTP:
Las cookies también suelen denominarse cookies de sitios web, cookies de navegador o cookies http, que se almacenan en el navegador del usuario y llevarán un fragmento de texto de forma predeterminada cuando se realiza una solicitud http. Se puede utilizar para la autenticación de usuarios, la verificación del servidor y otras cuestiones que se pueden manejar a través de datos de texto.
Encabezado de solicitud HTTP: referente
HTTP Referer es parte del encabezado. Cuando el navegador envía una solicitud al servidor web, generalmente hará que el Referer le diga al servidor desde qué página está vinculada la página web, de modo que el servidor pueda obtener cierta información para procesar.
500 |
Error Interno del Servidor |
El servidor encontró un error y no pudo completar la solicitud. |
501 |
aun no implementado |
El servidor no es capaz de cumplir con la solicitud. Por ejemplo, este código podría devolverse cuando el servidor no reconoce el método de solicitud. |
502 |
puerta de enlace equivocada |
El servidor actúa como puerta de enlace o proxy y recibió una respuesta no válida de un servidor ascendente. |
503 |
El servicio no está disponible |
El servidor no está disponible actualmente (debido a sobrecarga o inactivo por mantenimiento). Por lo general, esto es sólo un estado temporal. |
504 |
tiempo de espera de la puerta de enlace |
El servidor actúa como puerta de enlace o proxy, pero no recibió la solicitud del servidor ascendente de manera oportuna. |
505 |
Versión HTTP no compatible |
El servidor no admite la versión del protocolo HTTP utilizada en la solicitud. |
Los defectos de HTTP
Debido a la naturaleza simple del protocolo HTTP, no guarda el estado del cliente, no verifica si el cliente es real y la transmisión utiliza transmisión de texto sin formato, por lo que también tiene desventajas.
①Las partes de la comunicación utilizan transmisión de texto claro (no encriptado) y el contenido puede ser escuchado a escondidas.
②La identidad de la parte de la comunicación no se verifica, por lo que puede encontrarse enmascarada.
③No se puede probar la integridad del mensaje, por lo que es posible que haya sido manipulado.
En base a estas deficiencias, para evitar que ocurran estos problemas, apareció HTTPS .
Conceptos básicos del protocolo HTTPS
- ¿Qué es HTTPS?
HTTPS implementa la capa de cifrado SSL en HTTP y cifra los datos transmitidos. Es una versión segura del protocolo HTTP.
- La función principal de HTTPS:
①Cifrar datos y establecer un canal de seguridad de la información para garantizar la seguridad de los datos durante la transmisión;
②Autenticar la identidad real del servidor del sitio web.
El número de puerto HTTP predeterminado es 80 y el número de puerto HTTPS es 443.
La diferencia entre HTTP y HTTPS
Esencia: texto plano y cifrado
El problema de confiar en el host: el servidor que usa https debe solicitar un certificado de la CA para demostrar el tipo de uso del servidor. El cliente solo confía en el host cuando el certificado se usa para el servidor correspondiente.
Por qué es necesario el cifrado: ① Prevenir ataques de intermediario ② Antiphishing
BURP (servidor proxy) — **"** Agente"
Digresión
Muchas personas que son nuevas en la industria informática o graduados de carreras relacionadas con la informática han encontrado obstáculos en todas partes debido a la falta de experiencia práctica. Veamos dos conjuntos de datos:
-
Se espera que en 2023 los graduados universitarios nacionales alcancen los 11,58 millones y la situación laboral es grave;
-
Según los datos publicados por la Semana Nacional de Publicidad sobre Seguridad de Redes, para 2027, la escasez de personal de seguridad de redes en mi país alcanzará los 3,27 millones.
Por un lado, la situación laboral de los recién graduados es grave cada año y, por otro, existe una brecha de un millón de talentos en ciberseguridad.
El 9 de junio, se publicó oficialmente la edición de 2023 del Libro Azul de Empleo de MyCOS Research (incluido el Informe de empleo de 2023 para estudiantes universitarios en China y el Informe de empleo para estudiantes de formación profesional superior en China en 2023).
Las 10 especialidades principales con salario mensual más alto para los graduados universitarios de 2022
Los ingresos mensuales de los estudiantes universitarios en ciencias de la computación y de los estudiantes universitarios en automatización vocacional son relativamente altos. El ingreso mensual de la promoción de 2022 de licenciatura en informática y carreras superiores de automatización vocacional es de 6.863 yuanes y 5.339 yuanes, respectivamente. Entre ellos, el salario inicial de los estudiantes universitarios en informática es básicamente el mismo que el de la generación de 2021, y los ingresos mensuales de los estudiantes de automatización vocacional superior han aumentado significativamente. La generación de 2022 de estudiantes de transporte ferroviario que adelantaron (5295 yuanes) ocupa el primer lugar.
En concreto, dependiendo de la especialidad, la especialidad con mayores ingresos mensuales para los estudiantes universitarios en 2022 es la seguridad de la información (7579 yuanes). En comparación con la promoción de 2018, las carreras universitarias relacionadas con la inteligencia artificial, como la ciencia y la tecnología electrónicas, la automatización, etc., obtuvieron buenos resultados y sus salarios iniciales aumentaron un 19% en comparación con hace cinco años. Aunque la ciencia de datos y la tecnología de big data son carreras nuevas en los últimos años, han tenido un buen desempeño y se han clasificado entre las tres carreras principales con mayores ingresos mensuales medio año después de graduarse para la generación de estudiantes universitarios de 2022. La única carrera de humanidades y ciencias sociales que entró en la lista de las 10 universidades mejor pagadas hace cinco años, la francesa ha abandonado el top 10.
"No hay seguridad nacional sin ciberseguridad". En la actualidad, la seguridad de la red ha sido elevada a la cima de la estrategia nacional y se ha convertido en uno de los factores más importantes que afectan la seguridad nacional y la estabilidad social.
Características de la industria de la seguridad de redes.
1. El salario laboral es muy alto y el salario aumenta rápidamente. En 2021, Liepin.com publicó el salario laboral más alto en la industria de la seguridad de redes, ¡que es de 337.700 yuanes per cápita!
2. Existe una gran brecha de talento y muchas oportunidades de empleo
El 18 de septiembre de 2019, el sitio web oficial del "Gobierno Popular Central de la República Popular China" publicó: Mi país necesita 1,4 millones de talentos en seguridad ciberespacial, pero las escuelas de todo el país capacitan a menos de 1,5 millones de personas cada año. El "Informe de seguridad cibernética para el primer semestre de 2021" de Liepin.com predice que la demanda de talentos en seguridad cibernética será de 3 millones en 2027, y actualmente solo hay 100.000 empleados dedicados a la industria de la seguridad cibernética.
La industria tiene mucho margen de desarrollo y muchos puestos de trabajo.
Desde el establecimiento de la industria de seguridad de redes, se han agregado docenas de nuevos puestos en la industria de seguridad de redes: expertos en seguridad de redes, analistas de seguridad de redes, consultores de seguridad, ingenieros de seguridad de redes, arquitectos de seguridad, ingenieros de operación y mantenimiento de seguridad, ingenieros de penetración, gestión de seguridad de la información. Ingeniero de seguridad de datos, Ingeniero de operaciones de seguridad de redes, Ingeniero de respuesta a emergencias de seguridad de redes, Tasador de datos, Gerente de productos de seguridad de redes, Ingeniero de servicios de seguridad de redes, Entrenador de seguridad de redes, Auditor de seguridad de redes, Ingeniero de análisis de inteligencia de amenazas, Profesional de recuperación de desastres, Ofensiva y defensiva de combate real profesionales...
Gran potencial profesional
La especialización en seguridad de redes tiene sólidas características técnicas, especialmente el dominio de la arquitectura de red central y la tecnología de seguridad en el trabajo, lo que tiene una ventaja competitiva insustituible en el desarrollo profesional.
Con la mejora continua de la capacidad personal, el valor profesional del trabajo también aumentará con el enriquecimiento de la propia experiencia y la madurez de la operación del proyecto, y el espacio de apreciación es alcista en todos los sentidos, que es la razón principal por la que es popular. con todos.
Hasta cierto punto, en el campo de la seguridad de redes, al igual que los médicos, cuanto mayor es, más popular se vuelve. Debido a que la tecnología se vuelve más madura, el trabajo naturalmente será valorado y los ascensos y aumentos salariales son algo natural. .
Cómo aprender piratería y ciberseguridad
Hoy, siempre que apruebes mi artículo, compartiré contigo mi colección privada de materiales de aprendizaje de seguridad en línea de forma gratuita, así que veamos qué hay allí.
1. Hoja de ruta de aprendizaje
También hay muchas cosas que aprender en ataque y defensa. He escrito todas las cosas específicas para aprender en la hoja de ruta anterior. Si puedes aprenderlas, no tendrás problemas para conseguir un trabajo o aceptar trabajos privados.
2. Vídeotutorial
Aunque hay muchos recursos de aprendizaje en Internet, básicamente están incompletos. Este es un video tutorial sobre seguridad cibernética grabado por mí mismo. Tengo una explicación en video de respaldo para cada punto de conocimiento en la hoja de ruta anterior.
El contenido cubre el estudio de la ley de seguridad de la red, el funcionamiento de la seguridad de la red y otras evaluaciones de garantías, conceptos básicos de las pruebas de penetración, explicación detallada de las vulnerabilidades, conocimientos informáticos básicos, etc., todos los cuales son contenidos de aprendizaje que se deben conocer al comenzar con la seguridad de la red.
(Está todo empaquetado en una sola pieza y no se puede desplegar uno por uno. Hay más de 300 episodios en total)
Debido al espacio limitado, solo se muestra parte de la información, debe hacer clic en el enlace a continuación para obtenerla.
3. Documentos técnicos y libros electrónicos.
Los documentos técnicos también los compilé yo mismo, incluida mi experiencia y puntos técnicos de participación en operaciones de seguridad de red a gran escala, minería de vulnerabilidades CTF y SRC. También hay más de 200 libros electrónicos. Debido a la sensibilidad del contenido, No los mostraré uno por uno.
Debido al espacio limitado, solo se muestra parte de la información, debe hacer clic en el enlace a continuación para obtenerla.
4. Kit de herramientas, preguntas de la entrevista y código fuente.
"Si quieres hacer un buen trabajo, primero debes perfeccionar tus herramientas." He resumido docenas de las herramientas de piratería más populares para todos. El alcance de la cobertura se centra principalmente en la recopilación de información, herramientas de piratería de Android, herramientas de automatización, phishing, etc. Los estudiantes interesados no deben perdérselo.
También está el código fuente del caso y el conjunto de herramientas correspondiente mencionado en mi vídeo, que se pueden retirar si es necesario.
Debido al espacio limitado, solo se muestra parte de la información, debe hacer clic en el enlace a continuación para obtenerla.
Finalmente, hay preguntas de entrevistas sobre seguridad en Internet que he resuelto en los últimos años. Si está buscando trabajo en seguridad en Internet, definitivamente lo ayudarán mucho.
Estas preguntas se encuentran a menudo durante entrevistas con Sangfor, Qi Anxin, Tencent u otras empresas importantes. Si tiene buenas preguntas o buenas ideas, compártalas.
Análisis de referencia: sitio web oficial de Sangfor, sitio web oficial de Qi Anxin, Freebuf, csdn, etc.
Características del contenido: organización clara, incluida representación gráfica, que sea más fácil de entender.
Resumen de contenido: incluye intranet, sistema operativo, protocolo, prueba de penetración, servicio de seguridad, vulnerabilidad, inyección, XSS, CSRF, SSRF, carga de archivos, descarga de archivos, inclusión de archivos, XXE, vulnerabilidad lógica, herramienta, SQLmap, NMAP, BP, MSF…
Debido al espacio limitado, solo se muestra parte de la información, debe hacer clic en el enlace a continuación para obtenerla.