Web渗透流程、Windows基础、注册表及黑客常用DOS命令( 四 ) _DOS命令

http://www.example.com/login?name=me&pwd=123456
采用POST方法，浏览器将会按照下面两步来发送数据。首先，浏览器将与 action属性中指定的表单处理服务器建立联系，一旦建立连接之后，浏览器就会按分段传输的方法将数据发送给服务器。在服务器端，一旦POST样式的应用程序开始执行时，就应该从一个标志位置读取参数，而一旦读到参数，在应用程序能够使用这些表单值以前，必须对这些参数进行解码。用户特定的服务器会明确指定应用程序应该如何接受这些参数。对那些有许多字段或是很长的文本域的表单来说，就应该采用 POST 方法来发送。同时，POST方法的安全性更高。形如：
http://www.example.com/login
HTTP请求方法还包括：GET、POST、OPTIONS、PUT、MOVE、DELETE、TRACE 。下图采用BurpSuite抓取POST请求参数。
注意，错误配置HTTP方法可能导致的安全事件。服务器存在允许PUT方式和MOVE方式，这时我们可以通过PUT方式传入一个webshell.txt，然后通过MOVE方式结合解析漏洞很快地拿到网站的Webshell 。

文章插图

WAF
Web应用防护系统（Web Application Firewall，简称 WAF）也称为：=网站应用级入侵防御系统。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
推荐作者前文：[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

文章插图

安全狗以SECaaS安全即为用户提供一站式的云安全产品与服务，包括（云）主机安全、WEB应用安全、网站防篡改、抗DDoS云服务、安全大数据态势感知等。其基本功能包括：
网站安全狗：面向网站安全，包括网马扫描及查杀（自有引擎，只针对网页木马）；网马主动防御功能（可主动拦截网马上传和访问的动作）；防SQL注入功能、防XSS跨站攻击功能；防盗链防下载；以及防止CC攻击。
服务器安全狗：面向服务器安全的，包括基于内核驱动的抗DDOS攻击、抗ARP攻击、抗WEB CC攻击功能；基于内核驱动的文件系统主动保护功能（可防止文件被篡改、保护系统文件）；基于内核驱动的服务器其他方面的主动防御功能（系统账号、注册表、远程登陆等方面的保护）；以及服务器全面优化及体检功能。
安全狗服云：基于云端的监控和保护。安全狗服云利用云计算技术，为用户构造一个全面的服务器和网站的监控和防护平台，利用这个平台，用户可以做到24小时的服务器健康监控、资源监控和资源告警；24小时的服务器可用性监控；网站安全云扫描，发现网站存在的各种漏洞；基于云端技术的网站防篡改功能，保障网站文件不被非法修改。

文章插图

<?php $a='b'; $$a='assert'; $b($_POST[fox]);?>3.网站搭建配置常见网站搭建包括ASP网站搭建、Java网站SSH搭建、PHP网站搭建，比如phpStudy、WAMP/LAMP 。参考作者文章：phpStudy搭建Upload-labs靶场及CTF题PHP XAMPP配置PHP环境和Apache80端口被占用解决方案

文章插图

它的优势是可以切换各种PHP版本。

文章插图

IIS网站搭建也是非常基础的知识，这里推荐大家阅读 “[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原” 文章实验部分。

文章插图

一个聪明的安全工程师，是需要熟悉常见的CMS框架的。
内容管理系统（content management system，CMS）是一种位于WEB 前端（Web 服务器）和后端办公系统或流程（内容创作、编辑）之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。