http協議基礎
web技術發展【
靜態web【網頁】動態web
web攻擊型別有數百種web攻擊面
1、networkhttp協議基礎【2、os
3、web server
6、database
7、browser
明文協議,無機密安全機制
無內建的機密性安全機制嗅探或**截斷可檢視全部明文資訊
https只能提高傳輸層安全【依然可以做中間人攻擊】
中間人攻擊(偽造證書)【
無狀態
每一次客戶端和伺服器段的通訊都是獨立的過程web應用需要跟蹤客戶端會話(多步通訊)
不適用cookie的應用,客戶端每次請求都要重新身份驗證【
##cookie等同與session id
session用於在使用者身份驗證後跟蹤使用者行為軌跡【session會定時失效】
·提高使用者體驗,但增加了攻擊向量
cycle
請求/響應:
重要的header
set-cookie:伺服器發給客戶端的sessionid (存在被竊取的風險,可冒充別人身份)content-length:響應body部分的位元組長度【用於模糊測試】
location:重定向使用者到另乙個頁面,可識別身份認證後允許訪問的頁面
cookie:客戶端發回給伺服器證明使用者狀態的資訊(頭:值成對出現)
referrer:發起新請求之前使用者位於哪個頁面,伺服器基於此頭的安全限制很容易被修改繞過
host:基於host頭進行安全限制很容易被修改繞過
狀態碼
伺服器端響應的狀態碼白鷗時響應的結果型別(5大類50多個具體狀態碼)檢視狀態碼:
100s:伺服器響應的資訊,通常表示伺服器還有後續處理,很少出現200s:請求被伺服器成功接受並處理後返回的響應結果
300s:重定向,通常在身份認證成功後重定向到乙個安全頁面(301/302)
400s:表示客戶端請求錯誤
1、401:需要身份驗證2、403:拒絕訪問
3、404:目標未發現
500s:伺服器內部錯誤(503:服務不可用)
測試 http協議
什麼是 分為 白帽子 黑帽 常規 保密協議 針對性目標測試 指定範圍測試 非常規 apt 紅藍對抗 流程 如下圖 測試流程 非常規流程圖 http基礎 http書 什麼是http http即超文字傳輸協議,是一種詳細規定了瀏覽器和全球資訊網伺服器之間互相通訊的規則,它是全球資訊網交換資訊的基礎。19...
HTTP協議安全機制
http協議 超文字傳輸協議,位於應用層,通過請求 響應方式完成客戶端與服務端的通訊 缺點 不夠安全 明文傳輸,不做加密,易被中間人攻擊 中間人截獲甚至篡改資訊 改進 https協議 改進流程 一 對稱加密 約定乙個隨機生成金鑰,用金鑰對資訊加密解密 缺點 直接用對稱加密仍不安全 第一次約定金鑰的時...
HTTP協議學習筆記一
今天開始http協議的學習,書籍用的 http權威指南 事務 乙個http事務由一條 從客戶端發往伺服器的 請求命令和乙個 從伺服器發回客戶端的 響應結果組成,是通過http報文的格式化資料塊進行的 模型 http方法 get從伺服器向客戶端傳送命名資源 put將來自客戶端的資料儲存到乙個命名的伺服...