应用层是TCP/IP 五层模型最上层直接面向用户 / 应用程序核心作用为应用程序提供网络服务、定义数据交互规则。一、核心定位面向软件、用户下层传输、网络、数据链路、物理只负责传数据应用层负责解读数据含义。规定数据格式、交互流程、命令、端口、语义。二、两大核心组件1. 应用层协议主流协议 用途 默认端口HTTP/HTTPS网页访问80 / 443FTP/SFTP文件传输20/21 / 22DNS域名解析域名→IP53SMTP/POP3/IMAP邮件收发25 / 110 / 143Telnet/SSH远程登录管理23 / 22DHCP自动分配 IP 地址67/682. C/S B/S 架构C/S客户端 / 服务器需单独客户端QQ、FTP、远程桌面B/S浏览器 / 服务器只用浏览器网页、公众号、大部分网站三、核心工作流程客户端发起请求按协议格式封装数据服务器解析协议、处理业务服务器返回响应数据客户端解析展示给用户四、关键技术点数据编解码明文、二进制、JSON、XML、表单等端口号应用层区分不同服务的标识1~65535报文格式每个协议自有头部 数据体交互模式请求 - 应答、长连接、短连接、广播、多播五、和下层的关系应用层干什么事看网页、发文件、查域名传输层怎么传TCP 可靠 / UDP 快速网络层往哪传IP 寻址、路由六、网络安全1. 渗透测试完整流程渗透测试是模拟黑客合法攻击主动发现系统安全漏洞的整套流程标准分为7 大步骤全程遵循授权原则。前期准备 授权明确测试范围、目标、规则签订授权协议无授权测试属于违法行为收集目标基本信息域名、IP、业务、端口等。信息收集利用工具 / 公开渠道爬取域名、子域名、服务器 IP、开放端口、网站架构、中间件、CMS 版本、管理员账号等为后续攻击铺路。漏洞探测使用扫描器自动化检测端口漏洞、Web 漏洞、弱口令、文件泄露、配置缺陷等筛出可利用漏洞。漏洞利用针对发现的漏洞进行验证、尝试入侵获取权限网站后台、服务器权限、数据库权限等。权限提升拿到基础权限后进一步提权获取更高管理员 / 系统最高权限扩大控制范围。痕迹清理清除访问日志、操作记录避免被溯源正规测试仅演示不会恶意留存后门。报告输出 修复建议整理所有漏洞、风险等级、利用过程给出详细修复方案交付甲方完成整改。2. XSS 跨站脚本攻击1. 基本概念XSS跨站脚本攻击向网页注入恶意 JavaScript 代码当其他用户访问页面时代码自动执行窃取信息、劫持账号、弹窗钓鱼等。 成因网站对用户输入内容未做过滤、转义。2. 三大分类反射型 XSS非持久型恶意代码放在 URL 链接里点开即触发不存入服务器。 例http://xxx.com?namescriptalert(XSS)/script存储型 XSS持久型危害最大恶意代码提交到评论、留言、帖子等位置存入数据库所有访问该页面的用户都会中招。DOM 型 XSS不经过服务器纯前端 JS 解析漏洞修改页面 DOM 结构触发攻击。3. 常见危害窃取用户 Cookie、登录凭证劫持账号、伪造操作弹窗挂马、钓鱼、诱导下载病毒4. 简单防御对输入输出做HTML 转义过滤 等特殊字符设置 CookieHttpOnly禁止 JS 读取 Cookie开启 CSP 内容安全策略5. 演示代码!DOCTYPE html html langzh-CN head meta charsetUTF-8 titleXSS 攻击模拟测试/title style body { max-width: 800px; margin: 50px auto; padding: 20px; font-family: Arial; } .test-box { border: 1px solid #ccc; padding: 20px; margin: 20px 0; border-radius: 8px; } input { padding: 8px; width: 300px; margin-right: 10px; } button { padding: 8px 16px; cursor: pointer; } .result { margin-top: 15px; padding: 10px; background: #f5f5f5; border-radius: 4px; } .warn { color: red; font-weight: bold; } /style /head body h2XSS 攻击模拟演示本地安全测试/h2 p classwarn警告本代码仅用于学习 XSS 原理禁止用于非法攻击他人网站/p div classtest-box h3反射型 XSS 测试未过滤输入/h3 p模拟网站未对用户输入做任何过滤直接渲染到页面上/p !-- 输入框输入 XSS 攻击代码 -- input typetext idxssInput placeholder输入 XSS 测试代码 button onclicktestXss()点击测试/button !-- 结果展示区直接渲染用户输入模拟漏洞 -- div classresult strong攻击结果/strong div idresultDom/div /div /div div classtest-box h3常用 XSS 测试代码复制使用/h3 ul licodelt;img srcx onerroralert(图片加载失败触发XSS)gt;/code - 图片错误触发/li licodelt;a hrefjavascript:alert(点击触发XSS)gt;点我lt;/agt;/code - 链接触发/li /ul /div script // 模拟后端未过滤输入直接返回给前端渲染漏洞代码 function testXss() { // 获取用户输入的内容 let userInput document.getElementById(xssInput).value; // 高危操作直接将用户输入作为 HTML 渲染模拟 XSS 漏洞 document.getElementById(resultDom).innerHTML userInput; } /script /body /html3. SQL 注入1. 基本概念SQL 注入利用网站直接拼接用户输入到 SQL 语句的漏洞构造特殊字符篡改原有 SQL 逻辑非法查询、修改、删除数据库数据。 成因代码未过滤用户输入直接拼接 SQL 语句。2. 原理举例正常登录 SQLselect * from user where username输入账号 and password输入密码攻击者输入账号admin --拼接后 SQL 变为select * from user where usernameadmin -- and passwordxxx--是 SQL 注释符后面语句失效直接绕过密码登录。3. 常见类型数字型注入参数为数字如?id1字符型注入参数带引号最常见报错注入、布尔盲注、时间盲注页面无回显时通过报错 / 页面变化 / 延迟猜解数据堆叠注入一次性执行多条 SQL 语句4. 常见危害拖库盗取全部账号、手机号、密码等敏感数据篡改、删除数据库数据获取服务器权限、拿下整站5. 核心防御使用预编译语句参数化查询根治方案杜绝 SQL 拼接过滤特殊字符 ; \ -- #等关闭数据库不必要权限最小权限运行账号不暴露数据库报错信息七、小结到这里计算机网络应用层的知识就分享完咯咱们整套计算机网络通识内容也正式收官啦码字整理内容并不容易如果觉得干货实用麻烦动动小手点个赞吧你的每一个点赞都是我继续更新的动力非常感谢大家