Web安全-渗透测试-基础知识02

数据包

通信过程

  • 无代理服务器

    Request 请求数据包
    Reponse 相应数据包
  • 有代理服务器

    Requeset 请求数据包
    Proxy 代理服务器
    Reponse 相应数据包
    代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会
    总结:建立连接——>发送请求数据包——>返回响应数据包——>关闭连接

http数据包

http协议

定义:HTTP协议是超文本传输协议的缩写,它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议

HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等
HTTP协议一般用于B/S架构()。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求

http特点

  • http协议支持客户端/服务端模式,也是一种请求/响应模式的协议
  • 简单快速:客户向服务器请求服务时,只需传送请求方法和路径
  • 灵活:HTTP允许传输任意类型的数据对象,传输的类型由Content-Type加以标记
  • 无连接:限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session
  • 无状态:无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传

http报文组成

请求报文构成

  • 请求头:请求方法.URL,版本/协议
  • 请求头
  • 请求正文
    这儿用到一个抓包工具burpsuite,下载及安装可参考bp下载安装
请求方法
  • GET请求
  • POST请求
GET请求和POST请求区别
  1. 都包含请求头请求行,post多了请求body
  2. GET是直接添加到URL后面的,直接就可以在URL中看到内容,而POST是放在报文内部的,用户无法直接看到
  3. GET提交的数据长度是有限制的,因为URL长度有限制,具体的长度限制视浏览器而定。而POST没有

响应报文构成

  • 状态行
  • 响应头
  • 响应正文
响应状态码

访问一个网页时,浏览器会向web服务器发出请求,此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求


状态码分类:

1XX- 信息型,服务器收到请求,需要请求者继续操作
2XX- 成功型,请求成功收到,理解并处理
3XX - 重定向,需要进一步的操作以完成请求
4XX - 客户端错误,请求包含语法错误或无法完成请求
5XX - 服务器错误,服务器在处理请求的过程中发生了错误
常见状态码
200 OK - 客户端请求成功
301 - 资源(网页等)被永久转移到其它URL
302 - 临时跳转
400 Bad Request - 客户端请求有语法错误,不能被服务器所理解
401 Unauthorized - 请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
404 - 请求资源不存在,可能是输入了错误的URL
500 - 服务器内部发生了不可预期的错误
503 Server Unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常

https

定义:一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密

http与https

区别

  • HTTPS是HTTP协议的安全版本,HTTP协议的数据传输是明文的,是不安全的,HTTPS使用了SSL/TLS协议进行了加密处理
  • http和https使用连接方式不同,默认端口也不一样,http是80,https是443

热门相关:最强狂兵   重生之至尊千金   最强反套路系统   惊世毒妃:轻狂大小姐   梦回大明春