0x01 html
拖了很多天沒發,前幾天感冒了沒啥精力,後面又在準備離職和新工作,進入主題吧。對於web安全,學習web語言肯定是必須的,不論是前段的H5和JS,還是後臺的PHP,JSP,以及aps.net,我們不要求能開發出一個完整的系統,但是至少要做到能看懂代碼。
html 5 學習到什麼程度呢?
首先來了解下html是什麼:超級文本標記語言是標準通用標記語言下的一個應用,也是一種規範,一種標準,它通過標記符號來標記要顯示的網頁中的各個部分。總結裝換一下就是用來寫靜態網站的一種代碼語言,具體詳情。這沒什麼可以解答的。
如果時間夠可以把HTML過一遍,如果覺得沒有那個耐心,瞭解下HTML代碼的規範,格式,某些標籤(包含下面講解的)
1.1 代碼格式
代碼格式上如圖
標註爲html文檔
<html></html> #標籤,註明是html標籤
head區域
<head>
<title>title</title>
<meta charset="gbk">
<link rel="stylesheet" type="text/css" href="theme.css">
<base href="http://test.com/base/" />
<style type="text/css">
h1 {color:red}
p {color:blue}
</style>
</head>
標籤 | 描述 |
---|---|
head | 定義了文檔的信息 |
title | 定義了文檔的標題 |
base | 定義了頁面鏈接標籤的默認鏈接地址 |
link | 定義了一個文檔和外部資源之間的關係 |
meta | 定義了HTML文檔中的元數據 |
script | 定義了客戶端的腳本文件 |
style | 定義了HTML文檔的樣式文件 |
表格中就是一般常放在頭部區域的標籤
body區域
該區域就是網頁,頁面像是部分區域,如圖中的文字和p標籤和h1標籤,而這兩個標籤都不是我們需要深究的標籤,下面我會介紹幾個在web安全中常用的幾個標籤。
1.2 常用標籤
1.2.1 form和input標籤表單
form 標籤用於爲用戶輸入創建 HTML 表單
表單能夠包含 input 元素,比如文本字段、複選框、單選框、提交按鈕等等。
表單還可以包含 menus、textarea、fieldset、legend 和 label 元素。
表單用於向服務器傳輸數據。
標籤屬性
屬性 | 描述 |
---|---|
accept-charset | 規定服務器可處理的表單數據字符集 |
action | 規定當提交表單時向何處發送表單數據 |
enctype | 規定在發送表單數據之前如何對其進行編碼 |
method | 規定用於發送 form-data 的 HTTP 方法 |
name | 規定表單的名稱 |
target | 規定在何處打開 action URL |
其中action,method,name,target屬性在做元素審計時需要注意的,也是需要掌握的
input標籤
用於蒐集用戶信息,根據不同的 type 屬性值,輸入字段擁有很多種形式。輸入字段可以是文本字段、複選框、掩碼後的文本控件、單選按鈕、按鈕等等。inmput標籤常常出現反射性XSS。
其他標籤這裏就不
0x02 Javascript
javascript 這裏的話我就簡單說下學到什麼程度好了。
以菜鳥教程爲例
簡單學習下js語法,學會js調試,js混淆解碼(混淆解碼推薦一個工具,firefox插件)
仔細學習下Document Object Model(dom),瞭解ajax就差不多了。