url即統一資源定位符:用來唯一地表示全球資訊網中的某乙個文件;url由協議、主機埠、檔名三個部分構成
get / http/1.1 //請求行
host(傳送請求時,該頭域是必須的)主要用於指定被請求資源的internet主機和埠號,它通常從http url中提取出來的。http/1.1請求必須包含主機頭域,否則系統會以400狀態碼返回
dns劫持互動過程
http請求方法:
http響應也是由三個部分組成,分別是:狀態行、訊息報文、響應正文
1、狀態行格式如下:
http-version表示伺服器http協議的版本
status-code表示伺服器發回的響應狀態**
reason-phrase表示狀態**的文字描述
701賬戶過期
773使用者必須重置密碼
775使用者賬號鎖定
http與https之間的不同點
http封堵物件的獲取:針對http是獲取三次握手後的get請求包中的host欄位來識別伺服器
https是在第四次握手的第一階段,獲取客戶傳送client hello包中的servername欄位來識別伺服器
封堵行為:針對http是先傳送重定向包,再傳送rst;針對https是直接傳送rst結束tcp連線不發重定向包
web入侵流程
資訊收集——>漏洞掃瞄——>滲透攻擊——>提權/掛黑鏈——>後滲透攻擊——>持續控制
入侵方法:
1、通過web指令碼或框架的漏洞獲取webshell
2、通過獲取cms內容管理系統的
後台賬號密碼並登入
3、通過資料庫開放的埠作為入口,爆破或猜解進入
4、通過web指令碼或框架漏洞獲取敏感許可權或資料
導致現象:上傳webshell、上傳廣告黑鏈、植入惡意掛馬鏈結
http協議分析
http協議版本 http協議中共定義了八種方法或者叫 動作 來表明對request uri指定的資源的不同操作方式,具體介紹如下 connect http 1.1協議中預留給能夠將連線改為管道方式的 伺服器。雖然http的請求方式有8種,但是我們在實際應用中常用的也就是get和post,其他請求方...
分析HTTP協議
1.簡介 http是hyper text transfer protocol 超文字傳輸協議 的縮寫。它的發展是全球資訊網協會 world wide web consortium 和internet工作小組ietf internet engineering task force 合作的結果,他們 最...
http協議分析網頁
上週接收完成離職同事的活 對網路中使用者訪問的內容進行監控 某些非法關鍵字 需要用到http協議對網頁進行解析。由於以前同事寫的 過於雜亂,並且在實際環境中,出現以下問題 段錯誤,chunked傳輸方式的網頁無法監測。專案經理讓我進行重新架構。我簡單學習了一下http協議 rfc2616 對於完整的...