写在前面：

相关法律：

在做网络渗透测试的时候，一定要获取对方的书面授权，否则可能涉嫌违法犯罪

正文部分：

一、web架构

整体架构包括客户端、服务器和数据库

• 客户端：网页的前端展示，由html，css，javascript三件套组成
• 服务器：常见的 WEB 服务器有Apache，Nginx，Tomcat，Microsoft IIS，常见的后端语言有python，java，php，asp，Node.js，golang
• 数据库：储存数据库的地方，常见的有数据管理系统有Sql Server，Mysql，Oracle，SQLite，PostgreSQL

二、web相关协议（以下内容了解即可）

2.1 TCP协议

传输控制协议（TCP，Transmission Control Protocol）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793定义。TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的，可能不可靠的数据报服务。 原则上，TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。

TCP是什么

TCP协议是传输层协议，是应用层协议的基础

TCP相关机制： TCP通过检验和、序列号、确认应答、重发控制、连接管理以及窗口控制等机制实现可靠性传输。

1.确认应答

在TCP中，当发送端的数据到达接收主机时，接收端主机会返回一 个已收到消息的通知。这个消息叫做确认应答（ACK（Positive Acknowled-gement）意指已经接收。）
TCP通过肯定的ACK实现可靠的数据传输。当发送端将数据发出之后会等待对端的确认应答。如果有确认应答，说明数据已经成功到达对端。反之，则数据丢失的可能性很大。在一定时间内没有等到确认应答，发送端就可以认为数据已经丢失，并进行重发。

注意：未收到确认应答并不意味着数据一定丢失。也有可能是数据对方已经收到，只是返回的确认应答在途中丢失。这种情况也会导致发送端因没有收到确认应答，而认为数据没有到达目的地，从而进行重新发送。但是对于目标主机来说，这简直是一种“灾难”。它会反复收到相同的数据。而为了对上层应用提供可靠的传输，必须得放弃重复的数据包。为此，就必须引入一种机制，它能够识别是否已经接收数据，又能够判断是否需要接收。

2.序列号

上述这些确认应答处理、重发控制以及重复控制等功能都可以通过序列号实现。序列号是按顺序给发送数据的每一个字节（8位字节）都标上号码的编号（序列号的初始值并非为0。而是在建立连接以后由随 机数生成。而后面的计算则是对每一字节加一） 。接收端查询接收数据TCP首部中的序列号和数据的长度，将自己下一步应该接收的序号作为确认应答返送回去。就这样，通过序列号和确认应答号，TCP可以实现可靠传输。

TCP的数据长度并未写入TCP首部。实际通信中求得TCP包的长度的计算公式是：IP首部中的数据包长度-IP首部长度-TCP首部长度。

3.重发超时

重发超时是指在重发数据之前，等待确认应答到来的那个特定时间间隔。如果超过了这个时间仍未收到确认应答，发送端将进行数据重发。那么这个重发超时的具体时间长度又是如何确定的呢？

最理想的是，找到一个最小时间，它能保证“确认应答一定能在这个时间内返回”。然而这个时间长短随着数据包途径的网络环境的不同而有所变化。TCP要求不论处在何种网络环境下都要提供高性能通信，并且无论网络拥堵情况发生何种变化，都必须保持这一特性。为此，它在每次发包时都会计算往返时间（Round Trip Time也叫RTT。是指报文段的往返时间。） 及其偏差（RTT时间波动的值、方差。有时也叫抖动。） 。将这个往返时间和偏差相加。

数据也不会被无限、反复地重发。达到一定重发次数之后，如果仍没有任何确认应答返回，就会判断为网络或对端主机发生了异常，强制关闭连接。并且通知应用通信异常强行终止。

4.连接管理

TCP提供面向有连接的通信传输。面向有连接是指在数据通信开始之前先做好通信两端之间的准备工作。它会在数据通信之前，通过TCP首部发送一个SYN包作为建立连接的请求等待确认应答（TCP中发送第一个SYN包的一方叫做客户端，接收这个的一方叫做服务端。） 如果对端发来确认应答，则认为可以进行数据通信。如果对端的确认应答未能到达，就不会进行数据通信。此外，在通信结束时会进行断开连接的处理（通过发送FIN包）。

可以使用TCP首部用于控制的字段来管理TCP连接（也叫控制域） 。一个连接的建立与断开，正常过程至少需要来回发送7个包才能完成（“三次握手”、“四次挥手”） 。

MSS

在建立TCP连接的同时，也可以确定发送数据包的单位，我们也可以称其为“最大消息长度”（MSS：Maximum Segment Size）。最理想的情况是，最大消息长度正好是IP中不会被分片处理的最大数据长度。

TCP在传送大量数据时，是以MSS的大小将数据进行分割发送。进行重发时也是以MSS为单位。 MSS是在三次握手的时候，在两端主机之间被计算得出。两端的主机在发出建立连接的请求时，会在TCP首部中写入MSS选项，告诉对方自己的接口能够适应的MSS的大小。（为附加MSS选项，TCP首部将不再是20字节，而是4字节的整数倍。）

5.窗口控制

TCP以1个段为单位，每发一个段进行一次确认应答的处理这样的传输方式有一个缺点。那就是包的往返时间越长通信性能就越低。为解决这个问题，TCP引入了窗口这个概念。即使在往返时间较长的情况下，它也能控制网络性能的下降。确认应答不再是以每个分段，而是以更大的单位进行确认，转发时间将会被大幅度的缩短。也就是说，发送端主机，在发送了一个段以后不必要一直等待确认应答，而是继续发送。

窗口大小就是指无需等待确认应答而可以继续发送数据的最大值。这个机制实现使用大量的缓冲区。

TCP提供一种机制可以让发送端根据接收端的实际接收能力控制发送的数据量。这就是所谓的流控制。它的具体操作是，接收端主机向发送端主机通知自己可以接收数据的大小，于是发送端会发送不超过这个限度的数据。该大小限度就被称作窗口大小。窗口大小的值就是由接收端主机决定的。 TCP首部中，专门有一个字段用来通知窗口大小。接收主机将自己可以接收的缓冲区大小放入这个字段中通知给发送端。这个字段的值越大，说明网络的吞吐量越高。

收到确认应答的情况下，将窗口滑动到确认应答中的序列号的位置。这样可以顺序地将多个段同时发送提高通信性能。这种机制也被称为滑动窗口控制。

窗口控制下的重发控制

重发的情况就两种：一种是数据收到了，应答没有收到，第二种是数据没有收到。

先考虑确认应答未能返回的情况。在这种情况下，数据已经到达对端，是不需要再进行重发的。然而，在没有使用窗口控制的时候，没有收到确认应答的数据都会被重发。

其次，考虑一下某个报文段丢失的情况。当某一报文段丢失后，发送端会一直收到序号为1001的确认应答，这个确认应答好像在提醒发送端“我想接收的是从1001开始的数据”。因此，在窗口比较大，又出现报文段丢失的情况 下，同一个序号的确认应答将会被重复不断地返回。而发送端主机如果连续3次收到同一个确认应答（之所以连续收到3次而不是两次的理由是因为，即使数据段的序号被替换两次也不会触发重发机制。） ，就会将其所对应的数据进行重发。这种机制比之前提到的超时管理更加高效，因此也被称作高速重发控制。

接收端如果没有收到自己所期望的数据时，会将之前收到的数据进行确认应答，发送端一旦连续3次收到相同的确认应答，就会进行数据的重发。

拥塞控制

有了TCP的窗口控制，收发主机之间即使不再以一个数据段为单位发送确认应答，也能够连续发送大量数据包。然而，如果在通信刚开始时就发送大量数据，也可能会引发其他问题。 一般来说，计算机网络都处在一个共享的环境。因此也有可能会因为其他主机之间的通信使得网络拥堵。在网络出现拥堵时，如果突然发送一个较大量的数据，极有可能会导致整个网络的瘫痪。 TCP为了防止该问题的出现，在通信一开始时就会通过一个叫做慢启动的算法得出的数值，对发送数据量进行控制。

此外，TCP中为了提高网络的利用率，经常使用一个叫做Nagle的算法。

TCP首部格式：

TCP数据段格式

• 源端口号：表示发送端端口号，字段长16位。
• 目标端口号：表示接收端端口号，字段长度16位。
• 序列号：字段长32位。序列号是指发送数据的位置。每发送一次数据，就累加一次该数据字节数的大小（用来标记数据段的顺序）。序列号不会从0或1开始，而是在建立连接时由计算机生成的随机数作为其初始值，通过SYN包传给接收端主机。然后再将每转发过去的字节数累加到初始值上表示数据的位置。此外，在建立连接和断开连接时发送的SYN包和FIN包虽然并不携带数据，但是也会作为一个字节增加对应的序列号。
• 确认应答号：字段长度32位。是指下一次应该收到的数据的序列号。 实际上，它是指已收到确认应答号减一为止的数据。发送端收到这个确认应答以后可以认为在这个序号以前的数据都已经被正常接收。因此当前报文段最后一个字节的编号+1即为确认应答号。
• 数据偏移：该字段表示TCP所传输的数据部分应该从TCP包的哪个位开始计算，当然也可以把它看作TCP首部的长度。该字段长4位，单位为4字节。（比如该值为4就表示TCP所传输的数据从16个字节的地方开始）；如果不包括选项字段的话，此数据偏移字段可以设置为5。反之，如果该字段的值为5，那说明从TCP包的最一开始到20字节为止都是TCP首部，余下的部分为TCP数据。
• 保留：该字段主要是为了以后扩展时使用，其长度为4位，一般设置为0。
• 窗口大小：该字段长为16位。用于通知从相同TCP首部的确认应答号所指位置开始能够接收的数据大小TCP不允许发送超过此处所示大小的数据。不过，如果窗口为0，则表示可以发送窗口探测，以了解最新的窗口大小。
• 紧急指针： 该字段长为16位。只有在URG控制位为1时有效。该字段的数值表示本报文段中紧急数据的指针。
• 选项：用于提高TCP的传输性能。

控制位

字段长为8位，每一位从左至右分别为CWR、ECE、URG、ACK、 PSH、RST、SYN、FIN。这些控制标志也叫做控制位。

• CWR（Congestion Window Reduced：拥塞窗口减少）： CWR标志与后面的ECE标志都用于IP首部的ECN字段。ECE标志为1时，则通知对方已将拥塞窗口缩小。
• ECE：表示ECNEcho。置为1会通知通信对方，从对方到这边的网络有拥塞。在收到数据包的IP首部中ECN为1时将TCP首部中的ECE设置为1。

字段	含义
URG	紧急指针是否有效。为1，表示某一位需要被优先处理
ACK	确认应答号是否有效，1为有效。TCP规定除了最初建立连接时的SYN包之外该位必须设置为1
PSH	为1时，表示需要将收到的数据立刻传给上层应用协议；为0时，则不需要立即传而是先进行缓存。
RST	为1时表示TCP连接中出现异常必须强制断开连接。
SYN	用于建立连接。SYN为1表示希望建立连接，并在其序列号的字段进行序列号初始值的设定。
FIN	为1时，表示今后不会再有数据发送，希望断开连接。

校验和

TCP和UDP一样在计算校验和的时候使用TCP伪首部。为了让其全长为16位的整数倍，需要在数据部分的最后填充0。首先将TCP校验和字段设置为0。然后以16位为单位进行1的补码和计算，再将它们总和的1的补码和放入校验和字段。 接收端在收到TCP数据段以后，从IP首部获取IP地址信息构造TCP 伪首部，再进行校验和计算。由于校验和字段里保存着除本字段以外其 他部分的和的补码值，因此如果计算校验和字段在内的所有数据的16位和以后，得出的结果是“16位全部为1（1的补码中该值为0（负数0）、 二进制中为1111111111111111，十六进制中为FFFF，十进制中则为正整 数65535。） ”说明所收到的数据是正确的。

2.2 DNS协议

域名系统（Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。DNS协议是用来将域名转换为IP地址（也可以将IP地址转换为相应的域名地址）。

摘自百度百科

简单来说就是把域名和IP关联起来

2.3 Http协议

超文本传输协议（英文：HyperText Transfer Protocol，缩写：HTTP）是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。

http协议通常运行在TCP之上，主要分为请求和响应两部分

2.3.1 http请求：

请求内容

请求行：

请求头：

2.3.2 hppt响应：

2.3.3 http状态码：

三、Web相关漏洞

• XSS攻击
• CSRF攻击
• SSRF攻击
• XXE漏洞
• SQL注入
• 暴力破解
• 敏感信息泄露
• 文件包含
• 文件上传漏洞
• 命令执行漏洞
• 条件竞争
• 点击劫持
• ......

1.XSS攻击：

跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码，当用户浏览该页之时，嵌入其中 Web 里面的 HTML 代码会被执行，从而达到恶意攻击用户的特殊目的。

2.SQL注入：

通过在用户可控参数中注入 SQL 语法，破坏原有 SQL 结构，达到编写程序时意料之外结果的攻击行为。

3.CSRF：

跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果，所以 CSRF 攻击主要用来执行动作，而非窃取用户数据。当受害者是一个普通用户时，CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作；但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。

4.SSRF：

SSRF（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF 攻击的目标是从外网无法访问的内部系统。

5.XXE漏洞：

XXE Injection 即 XML External Entity Injection，也就是 XML 外部实体注入攻击. 漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题

6.暴力破解：

暴力破解是一种攻击具手段。一个web应用系统存在暴力破解漏洞，一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的“可能性”变的比较高。

7.敏感信息泄露

敏感信息指不为公众所知悉，具有实际和潜在利用价值，丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。包括：个人隐私信息、业务经营信息、财务信息、人事信息、IT 运维信息等。 泄露途径包括 Github、百度文库、Google code、网站目录等

8.文件包含

如果允许客户端用户输入控制动态包含在服务器端的文件，会导致恶意代码的执行及敏感信息泄露，主要包括本地文件包含和远程文件包含两种形式

9.文件上传漏洞：

在网站的运营过程中，不可避免地要对网站的某些页面或者内容进行更新，这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过，该功能便有可能会被利用于上传可执行文件、脚本到服务器上，进而进一步导致服务器沦陷

10.命令执行漏洞：

当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如 PHP 中的 system、exec、shell_exec 等，当用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常命令中，造成命令执行攻击

11.条件竞争：

条件竞争漏洞是一种服务器端的漏洞，由于服务器端在处理不同用户的请求时是并发进行的，因此，如果并发处理不当或相关操作逻辑顺序设计的不合理时，将会导致此类问题的发生

12.点击劫持：

Clickjacking（点击劫持）是一种视觉欺骗手段，在 WEB 端就是 iframe 嵌套一个透明不可见的页面，让用户在不知情的情况下，点击攻击者想要欺骗用户点击的位置

四、Web常用工具

• BurpSuite
• Sqlmap
• Hackbar
• Postman
• nmap
• ...

五、php相关

$_GET数组：预定义的 $_GET 变量用于收集来自 method="get" 的表单中的值

$_POST数组：预定义的 $_POST 变量用于收集来自 method="post" 的表单中的值

$_SERVER数组：是一个包含服务器和执行环境信息的数组

详细内容参考：https://ctf-wiki.github.io/ctf-wiki/web/php/php-zh/#php

本期只是做了个介绍，详细内容下次再写

因为懒得做表格，就直接嫖了实验室的ppt......表格均为信安实验室墨雨琪制作