Web安全-渗透测试-基础知识02

这篇具有很好参考价值的文章主要介绍了Web安全-渗透测试-基础知识02。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

数据包

通信过程

  • 无代理服务器
    Web安全-渗透测试-基础知识02
    Request 请求数据包
    Reponse 相应数据包
  • 有代理服务器
    Web安全-渗透测试-基础知识02
    Requeset 请求数据包
    Proxy 代理服务器
    Reponse 相应数据包
    代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会
    总结:建立连接——>发送请求数据包——>返回响应数据包——>关闭连接

http数据包

http协议

定义:HTTP协议是超文本传输协议的缩写,它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议

HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等
HTTP协议一般用于B/S架构()。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求

http特点

  • http协议支持客户端/服务端模式,也是一种请求/响应模式的协议
  • 简单快速:客户向服务器请求服务时,只需传送请求方法和路径
  • 灵活:HTTP允许传输任意类型的数据对象,传输的类型由Content-Type加以标记
  • 无连接:限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session
  • 无状态:无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传

http报文组成

请求报文构成

  • 请求头:请求方法.URL,版本/协议
  • 请求头
  • 请求正文
    这儿用到一个抓包工具burpsuite,下载及安装可参考bp下载安装
    Web安全-渗透测试-基础知识02
请求方法
  • GET请求
    Web安全-渗透测试-基础知识02
  • POST请求
    Web安全-渗透测试-基础知识02
GET请求和POST请求区别
  1. 都包含请求头请求行,post多了请求body
  2. GET是直接添加到URL后面的,直接就可以在URL中看到内容,而POST是放在报文内部的,用户无法直接看到
  3. GET提交的数据长度是有限制的,因为URL长度有限制,具体的长度限制视浏览器而定。而POST没有

响应报文构成

  • 状态行
  • 响应头
  • 响应正文
    Web安全-渗透测试-基础知识02
响应状态码

访问一个网页时,浏览器会向web服务器发出请求,此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求
Web安全-渗透测试-基础知识02
状态码分类:

1XX- 信息型,服务器收到请求,需要请求者继续操作
2XX- 成功型,请求成功收到,理解并处理
3XX - 重定向,需要进一步的操作以完成请求
4XX - 客户端错误,请求包含语法错误或无法完成请求
5XX - 服务器错误,服务器在处理请求的过程中发生了错误
常见状态码
200 OK - 客户端请求成功
301 - 资源(网页等)被永久转移到其它URL
302 - 临时跳转
400 Bad Request - 客户端请求有语法错误,不能被服务器所理解
401 Unauthorized - 请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
404 - 请求资源不存在,可能是输入了错误的URL
500 - 服务器内部发生了不可预期的错误
503 Server Unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常

https

定义:一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密文章来源地址https://www.toymoban.com/news/detail-471128.html

http与https

区别

  • HTTPS是HTTP协议的安全版本,HTTP协议的数据传输是明文的,是不安全的,HTTPS使用了SSL/TLS协议进行了加密处理
  • http和https使用连接方式不同,默认端口也不一样,http是80,https是443
    声明:本文只供参考学习,初次学习如有误导请纠正

到了这里,关于Web安全-渗透测试-基础知识02的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全渗透测试之网络基础知识(IP地址)

    #1.IP地址介绍 注意:不同局域网需要有不同的网络部分,通过网络部分区别出网段/网络; 局域网内部,主机部分不能一样,否则会出现地址冲突 范围:0.0.0.0-255.255.255.255 表示:点分十进制 组成:由网络部分和主机部分组成 192.168.1.1 1.1.1.1 255.254.188.2 二进制:00000000 11111111 十

    2024年02月08日
    浏览(55)
  • web渗透安全学习笔记:1、入门基础知识/ XXS漏洞

        自编写python渗透工具编写学习笔记专栏以来,笔者便发现了一个较为严重的问题:我们大多数文章都是学习如何用python编写扫描与利用漏洞的渗透工具,却没有真正解析漏洞的形成原因,长此以往我们的学习就只会浮于表面,广而不深。为了改变这一现状,笔者决定以深

    2024年02月03日
    浏览(55)
  • 入门必看——渗透测试基础知识笔记

    sql 注入攻击是通过将恶意的 sql 查询或添加语句插入到应用的输入参数中,再在后台 sql 服务器上解析 执行进行的攻击 头部注入(ua,cookie,referer) 联合注入 报错注入 布尔盲注 时间盲注 堆叠注入宽字节注入 布尔盲注:根据注入信息返回true or fales 没有任何报错信息 时间盲

    2024年02月14日
    浏览(54)
  • [渗透测试]—6.1 无线网络基础知识

    在本章节中,我们将学习一些关于无线网络的基础知识,如WEP、WPA和WPA2等加密技术。我们将尽量讲解得详细、通俗易懂,并提供尽可能多的实例。 无线局域网(WLAN)是一种基于无线电波传输的计算机网络,可以实现设备之间的通信和互联。在家庭、企业和公共场所,无线网

    2024年02月11日
    浏览(57)
  • 网络安全(黑客)内网渗透基础知识

    0x01 内网概述 内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。 内网是封闭型的,它可以由办公

    2024年02月13日
    浏览(59)
  • 网络安全之渗透(基础知识点)

    1、 脚本语言 2、常见脚本语言 3、静态脚本于动静态脚本的区别: 3、 HTTP协议,HTTP代理 4、 CMS(B/S)内容管理系统 5、 MD5(不可逆的,常见的MD5解密网站其实是将一些明文进行MD5加密,形成一个库,在查询的时候将密文与库中的信息进行碰撞,最后得到明文) 零基础入门 对

    2024年02月11日
    浏览(75)
  • Web安全入门基础知识(笔记)

    0x01 基础名词 一、域名 1.什么是域名 2.域名在那里注册 3.什么是二级域名,多级域名,顶级域名 4.域名发现对于安全测试的意义 二、DNS 1.什么是DNS 2.本地host和DNS的关系 3.CDN是什么,和DNS有什么关系 三、常见的DNS攻击 四、脚本语言 1.常见的脚本语言有哪些 2.不同的脚本类型于

    2024年02月10日
    浏览(55)
  • Web服务器安全基础知识

    Web服务器安全是指保护Web服务器和其中托管的Web应用程序不受恶意攻击和非法访问的一系列措施。在互联网时代,Web服务器安全已经成为各种规模的企业和组织不可或缺的一项重要工作。 Web服务器安全涉及到多个方面,包括但不限于: 防止未经授权的访问:保护Web服务器和

    2024年02月21日
    浏览(51)
  • 安全测试基础知识

    软件安全测试是评估和测试系统以发现系统及其数据的安全风险和漏洞的过程。没有通用术语,但出于我们的目的,我们将评估定义为分析和发现漏洞,而不尝试实际利用这些漏洞。我们将测试定义为发现和尝试利用漏洞。 安全测试通常根据要测试的漏洞类型或正在执行的测

    2024年02月11日
    浏览(48)
  • 高项(3)信息化和信息系统基础知识2-移动互联网-安全属性-安全层次-安全保护等级-加密技术-防火墙-入侵检测-DDN-蜜罐技术-无线网络安全-Web威胁防护技术-运行维护信息系统生命周期-软件测试V

    27.在大数据研究中,数据之间的关联关系比因果关系更重要 28.移动互联网的核心是互联网,移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。 29.安全属性 秘密性:信息不被未授权者知晓的属性; 完整性:信息是正确的、真实的、未被篡改的、完整

    2024年04月14日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包