网络安全——HTML基础

通用型:第三方软件、应用、系统对应的漏洞,每个使用这个软件或者应用系统的用户都存在这个漏洞,发现一个 漏洞可以封杀n多个网站

事件型:非通用型漏洞,主要指互联网上一个应用的具体漏洞,如具体到某个站点

协议 主机 端口都相同

3.提交方式method
两种方法

Get :url中直接显示,可直接看到

Post :表单方式提交,嵌套在页面内,起到保密作用

4.windows系统日志中
4624 登陆成功

4625 审核失败

5.Linux日志
最后一次登录的日志

┌──(root���kali)-[/var/log]

└─# lastlog
​ 查看用户登录的权限

┌──(root���kali)-[/var/log]

└─# cat /etc/passwd
​ 查看日志

┌──(root���kali)-[/var/log]]()

└─# cd /var/log

┌──(root���kali)-[/var/log]

└─# ls -al
wtmp显示为登陆成功的日志(last -f查看)

btmp显示为未成功登录的网站

6.查看外部连接
┌──(root���kali)-[/var/log]

└─# netstat -anlp | grep 8080

┌──(root���kali)-[/var/log]

└─# netstat -anlp | grep 80
http ——80

https——443

ssh——22

POP3——110

smtp——25

ftp——20 21

dhcp——67 68

dns——53

windows远程桌面——3389

mysql——3306

sqlserver——1433

oracle——1521

8.html基础

Document

welcome

<div>
    <p>
        hello world
    </p>    

pppppppp

网络安全——HTML基础

浏览器不支持JS

https://www.example.com:80/path/to/myfile.html?key1=value1&key2=value2#anchor 协议 主机host 端口 路径 查询参数(一定要加? 两个参数&连接)

​ (默认,可不写)

urlcode编码

空格:%20

! :%21

:%23

$ :%24

%:%25

& :%26

’ :%27

( :%28

) :%29

  • :%2A
  • :%2B

, :%2C

/ :%2F
:%3A

; :%3B

= :%3D

? :%3F

@ :%40

[ :%5B

] :%5D

xss中小技巧:

?xss=1%20οnerrοr=location="javascript:alert%25%281%25%29(location可代表跳转页面)

?xss=1 οnerrοr=location="javascript:alert%281%29 (html页面摆脱()的限制)

?xss=1 οnerrοr=location="javascript:alert(1) (浏览器页面摆脱()的限制,实现弹窗机制)

10.utf-8编码规则
可变长的unicode编码

只有两条:

1)对于单字节的符号,字节的第一位设为0,后面7位为这个符号的 Unicode 码。因此对于英语字母,UTF-8 编码和 ASCII 码是相同的。

2)对于n字节的符号(n>1),第一个字节的前n位都设为1,第n=1位设为0,后面字节的前两位一律设为10。剩下的没有提及的二进制位,全部为这个符号的 Unicode 码。

下表总结了编码规则,字母x表示可用编码的位。

Unicode符号范围 | UTF-8编码方式
(十六进制) | (二进制)
----------------------±--------------------------------------------
0000 0000-0000 007F (0-127)| 0xxxxxxx
0000 0080-0000 07FF (128-2047)| 110xxxxx 10xxxxxx
0000 0800-0000 FFFF(2047-65535) | 1110xxxx 10xxxxxx 10xxxxxx
0001 0000-0010 FFFF | 11110xxx 10xxxxxx 10xxxxxx 10xxxxxx
跟据上表,解读 UTF-8 编码非常简单。如果一个字节的第一位是 0 ,则这个字节单独就是一个字符;如果第一位是 1 ,则连续有多少个 1 ,就表示当前字符占用多少个字节。

例如:汉字中ascii码为20013

​ 在 0000 0800-0000 FFFF 三字节范围内,编码规范1110xxxx 10xxxxxx 10xxxxxx

​ 20013的二进制 0b100111000101101,0b为二进制符号

​ 从后往前补: 1110 0100(剩100,补为0100) 10111000(补后7-12位) 10101101(补后六位)

​ 转为十六进制:e4b8ad

11.link
noreferrer :告诉浏览器打开链接时,不要将当前网址作为 HTTP 头信息的 Referer 字段发送出去,这样可以隐藏点击的来源。

<meta charset="UTF-8">

<meta http-equiv="X-UA-Compatible" content="IE=edge">

<meta name="viewport" content="width=device-width, initial-scale=1.0">
Document
<a href="https://www.baidu.com">百度百科</a>    <!--a链接功能-->



<img src="">   <!--a标签内部是一个图像,点击图片自动进行跳转-->



<a href="http://www.cacxxy.com/index.jsp" title="延安大学西安创新学院">延创</a>   <!--鼠标悬浮在延创字样时出现title提示信息-->



<a href="http://www.cacxxy.com/index.jsp" target="_self">延创</a>   <!--当前窗口打开-->



<a href="http://www.cacxxy.com/index.jsp" target="_blank">延创</a>   <!--新窗口打开-->



<a href="javascript:alert(1)">延创</a>    <!--a标签触发弹窗-->
12.标签
<meta charset="UTF-8">

<meta http-equiv="X-UA-Compatible" content="IE=edge">

<meta name="viewport" content="width=device-width, initial-scale=1.0">
Document
<div></div>   <!--块级元素标签-->

<p></p> <!--块级元素标签-->



<pre></pre>   <!--块级元素,保留原来的格式-->

<code>alert(1)</code>  <!--网页出现alert(1)-->

    • 商品 A
    • 商品 B
    • 商品 C
    • 一级标题

      13.form
      <meta charset="UTF-8">
      
      <meta http-equiv="X-UA-Compatible" content="IE=edge">
      
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      
      Document

      <input type=“hidden” name=“hash” value=“1111>”

      Format: 123-456-7890

      14.iframe
      <meta charset="UTF-8">
      
      <meta http-equiv="X-UA-Compatible" content="IE=edge">
      
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      
      Document
      <iframe src="https://www.baidu.com"   <!--在当前网页嵌入此网页-->
      

      ​ width=“100%” height=“500” frameborder=“0”

      ​ allowfullscreen sandbox>

      点击打开嵌入页面

      loading 属性可以触发 网页的懒加载。该属性可以取以下三个值。

      auto:浏览器的默认行为

      lazy:懒加载,鼠标滚动进入页面时开始加载图片等信息

      eager:立即开始加载资源,无论在页面上的位置如何

      当的宽度和高度为小于等于4像素

      样式设为display none或者visibility hidden时

      使用定位坐标为负x或负y,将iframe置在屏幕外

      chrome浏览器会认为是隐藏的,loading属性无效,将会立即开始加载

      Web访问流程
      浏览器----本地页面的代码

      http----截取数据、观察数据、修改数据、绕过页面代码判断

      Web容器(IIS apache Nginx)解析数据–解析文件、数据问题

      Web语言(php js python .net )执行代码

      数据库

    上一篇:深度剖析数据在内存中的存储


    下一篇:原码、反码、补码知识详细讲解(此作者是我找到的讲的最细最明白的一个)