Web应用环境架构类

• 开发语言：php、java、python、ASP、ASPX等
• 程序源码：用的人多了，就成CMS了。
• 中间件容器：IIS、Apache、Nginx、Tomcat、Weblogic、Jboos、glasshfish等
• 数据库类型：Access、Mysql、Mssql、Oracle、Redis、MongoDB等.
• 服务器类型：windows、linux、mac系列
• 第三方软件：phpmyadmin、vs-ftpd等

建站步骤：

1. 买一个域名、服务器；
2. 使用宝塔一键化搭建网站。

一个域名绑定一个IP下的某个目录，一个IP下可以有多个网站。

web应用安全漏洞分类

• SQL注入
• 文件安全
• RCE执行
• XSS跨站
• CSRF/SSRF/CRLF
• 反序列化
• 逻辑越权
• 未授权访问
• XXE/XML
• 弱口令安全

电脑端和手机端显示的网页不一样的原因：二者访问时，发送的请求包不一样。

模拟器抓包：模拟器相当于重开了一个设备，跟主机的关系是类似于vmware中的NAT连接，所以wifi那儿设置代理地址是本机的地址及相应的端口，然后burp监听本机IP及相应端口。

web请求返回过程数据包参考：web请求参考资料1、web请求参考资料2

HTTP响应码相关知识：

• 文件夹存在响应码：403，文件夹不存在响应码：404
• 文件存在响应码：200，文件不存在响应码：404。
• 3XX：跳转，判断可有可无（不能放过）；
• 5XX：内部错误、服务器问题，判断可有可无（不能放过）。

远程代理网站：快代理