前言

各位好，這個系列希望可以從淺到深的敘述與展示一些跟 Web Security 的弱點以及解決方法，然後想圓圓出書的夢 XD
要先成為魔法使之前，要先通過魔法使的資格考，在座的見習生們，準備好一起跟身為魔法少女的我─飛飛，一起出發吧。

正文

所謂台上十分鐘，台下十年功，在進入深度的　Web Security 之前，我們要先打穩馬步，做好基本功，前階段我們會先以介紹名詞方式去介紹一些常見的基礎知識，並且會帶入一些網路概論的解釋。

「誒，等等那 Web 是什麼。」
Web 其實是 World Wide Web （全球資訊網）的簡稱，簡單來說就是利用網路進行互動，並且有互相連結的超文字組成的系統。以三種技術：統一資源標誌符（URI）、超文件標示語言（HTML）、超文字傳輸協定（HTTP）。

這邊簡單瀏覽一個網站的步驟大概是：

1. 輸入統一資源定位符（URL）
2. 被域名系統(Domain Name System)解析，根據解析結果IP位址（IP Address）
3. 向這個 IP 的伺服器(Server)送出 HTTP 請求 (request)
4. 伺服器收到請求，根據請求，送出回應 (response)
5. 瀏覽器(bowser)收到這些回應之後會把 HTML,CSS,js,圖片,連結呈現給使用者。

「那 Web Security 跟我們有什麼關係呢？」
我們每天幾乎都會瀏覽網頁，不管是利用 Google 查詢想要的資料，透過 Facebook 發發廢文，還是利用 Github 版控自己的原始碼，就連手機的 APP 有些也是透過 WebView 的方式，透過網站來讓大家使用。在瀏覽網頁的過程當中，就會出現危險性，比如輸入帳號密碼、購物商場中信用卡資訊等…這些安全性的問題都跟我們習習相關。

URL

統一資源定位符的標準格式如下：
[協定類型]://[伺服器位址]:[埠號]/[資源層級UNIX檔案路徑][檔名]?[查詢]#[片段ID]
<scheme>://<netloc>:<port>/<path>?<query>#[fragment]

http://www.google.com/search?q=ithome

• 協定類型:http
• 伺服器位置:www.google.com
• 埠號:http預設80，瀏覽器會自動省略
• 路徑:search
• 查詢:q=ithome

補充

PentesterLab 是一個針對滲透測試練習的網站，裡面有個 Bootcamp 是針對滲透測試進行訓練營，在這裡原本是英文版（目前英文版是新版的呈現方式），之前有替舊版的訓練營書單撰寫繁體中文版的翻譯，大家有興趣可以點擊[PentesterLab] Bootcamp繁體中文參考看看。

參考資料

• URL
• 統一資源定位符