安全 --- http报文包详解及burp简单使用

这篇具有很好参考价值的文章主要介绍了安全 --- http报文包详解及burp简单使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

HTTP

HTTP(超文本传输协议)是今天所有web应用程序使用的通信协议。最初HTTP只是一个为了获取基本文本的静态资源而开发的简单协议,后来对其进行扩展和利用,使其发展为能够支持如今常见的复杂分布式应用程序。


(1)消息模型

客户端发送请求信息,服务端返回响应信息。

协议基本不需要连接,虽然HTTP使用有状态的TCP协议作为它的传输机制,每次请求与响应交换都会自动完成,并且可能使用不同的TCP连接

(2)HTTP请求

所有HTTP消息(请求与响应)中都包含一个或几个单行显示的消息头(header),然后是一个强制空白行,最后是消息主体(可选)。

例:以下是一个典型HTTP请求:

GET /auth/488/YourDetails.ashx?uid=129 HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: https://mdsec.net/auth/488/Home.ashx
Accept-Language: zh-cn,zh;q=0.5
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Ge
cko/20100101 Firefox/91.0
Host: mdsec.net
Connection: Keep-Alive
Cookie: Sessionld=5870C7IF3FD4968935CDB6682E545476

(3)名词详解

  • get:说明HTTP方法的动词。最常用为GET,主要作用是从web服务器获取资源。post head options put
  • accept:Accept:浏览器支持的MIME类型分别是text/html、application/xhtml + xml、application/xml、*/*
  • MIME:多功能internet邮件扩充服务
  • text:标准化的表示文本信息,文本信息可以是多种字符集和或者多种格式的文档
text/html表示html文档;
application:传输应用程序数据或二进制数据;
application/xhtml + xml表示xhtml文档;
application/xml表示xml文档
  • referer:消息头用于表示发出请求的原始URL
  • accept-language:浏览器支持语言。zh-cn表示简体中文;zh表示中文
  • user-agent:消息头系统与浏览器或其他生成请求的客户端软件有关的信息;
  • host:消息头用于指定出现在被访问的完整URL中的主机名称
  • cookie:消息头用于提交服务器向客户端发布的其他参数
  • httponly:设置此属性,无法通过客户端js直接访问cookie
  • connection:表示持久的客户端与服务连接。connection:keep-alive
  • X_Forwaeded_For:用来识别通过HTTP代理或负载均衡方式连接到web服务器客户端最原始的IP地址的HTTP请求头字段
  • location:这个消息头用于在重定向响应(那些状态码以3开头的响应)中说明重定向的目标

(4)HTTP状态码

  • 200 OK。--- 表示已经成功提交请求,且响应主体中包含请求结果
  • 302:将浏览器暂时重定向到另一个在location消息头指定的URL,客户端应在随后的请求中恢复使用原始URL
  • 400 Bad Request:客户端提交了一个无效的HTTP请求。当以某种无效的方式修改请求(如在URL插入空格符),可能会遇到这个状态码
  • 404 Not Found:表示请求资源不存在
  • 500 Internal Server Error:表示服务器执行请求遇到错误

暴力破解 --- pikachu

环境

pikachu漏洞练习平台
burpsuite
firefox

基于表单的暴力破解

(1)进入pikachu漏洞练习平台

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(2)随便输入用户名和密码,然后打开bp抓包

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(3)查看抓包结果

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(4)将抓包结果发送给测试器

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

查看结果:变量前后都加上§符号,特殊符号表示会进行跑字典,首先清除特殊符号

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(5)选择跑字典的password

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(6)设置有效载荷中的字典

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

开始攻击

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(7)查看暴破情况

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

暴破成功(查看后面数字,将后面数字进行排列,不一样则点进去查看)

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

(8)进入界面测试登录结果

安全 --- http报文包详解及burp简单使用,安全攻击,http,网络协议,网络,安全,web

登录成功文章来源地址https://www.toymoban.com/news/detail-520731.html

到了这里,关于安全 --- http报文包详解及burp简单使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 10种网络安全攻击方式详解!

    在网络攻击逐渐增加的当下,无论是企业还是个人做好网络安全防护都显得尤为重要,而想要有效应对网络攻击,我们就需要对攻击手段进行一定的了解,本文为大家盘点最常见的10种网络安全攻击方式,快来一起看看吧,希望对你们有用。 1、DoS和DDoS攻击 DoS是Denial of Servi

    2024年02月13日
    浏览(51)
  • 【网络安全】-常见的网站攻击方式详解

    在数字时代,网站攻击是一种常见而严重的威胁,可能导致个人隐私泄露、数据损坏,甚至是整个系统的瘫痪。为了帮助小白用户更好地了解并防范这些威胁,我们将深入研究一些常见的网站攻击方式,包括攻击原理、攻击目的以及防范措施。 攻击原理 SQL 注入是通过在用户

    2024年02月05日
    浏览(50)
  • 【吃透网络安全】2023软考网络管理员考点网络安全(二)网络攻击详解

    黑客的攻击手段介绍,常见的网络攻击,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。 后面还有更多续篇希望大家能给个赞哈,这边提供个快捷入口! 第一节网络管理员考点网络安全(1)之安全基础 第二节网络管理员考点网络安全(2)之

    2024年02月13日
    浏览(52)
  • 网络协议与攻击模拟-17-DNS协议-报文格式

    客户机想要访问www.baidu.com,根据自己的 TCP / IP 参数,向自己的首选 DNS 服务器发送 DNS 请求 首选 DNS 收到客户机的请求后,会去查询自己的区域文件,找不到www.baidu.com的 IP 地址信息(将请求转发到根域服务器,需要配置根提示);直接可以找到www.baidu.com的 IP 地址信息(直接

    2024年02月16日
    浏览(137)
  • HTTP协议 | 一文详解HTTP报文结构

    目录 🌳 HTTP/HTTPS简介 🌳 HTTP工作原理 HTTP三点注意事项 1. HTTP是无连接的 2. HTTP是媒体独立的 3. HTTP是无状态的 HTTPS 作用 🌳 HTTP消息结构 HTTP请求消息 1. 请求行 2. 请求头 3. 空行 4. 请求数据 HTTP请求实例 HTTP请求GET和POST的区别 1. 传输数据的方式不同 2. 传输数据的大小不同 3

    2024年02月03日
    浏览(46)
  • 【HTTP 协议1】图文详解 HTTP 请求和应答报文

    各位读者好, 我是小陈, 这是我的个人主页, 希望我的专栏能够帮助到你: 📕 JavaSE基础: 基础语法, 类和对象, 封装继承多态, 接口, 综合小练习图书管理系统等 📗 Java数据结构: 顺序表, 链表, 堆, 二叉树, 二叉搜索树, 哈希表等 📘 JavaEE初阶: 多线程, 网络编程, TCP/IP协议, HTTP协议

    2024年02月12日
    浏览(62)
  • 计算机网络的故事——HTTP报文内的HTTP信息

    HTTP报文是由多行(CR+LF作换行符)数据构成的字符串文本,HTTP报文可以分为报文首部和报文主体两部分,两者起初是由(CR+LF)划分的,通常并不一定有报文主体。 报文中的参数解释: 请求行:包含请求方法、请求URI和HTTP版本。 状态行:响应状态码、原因短语和HTTP版本 首部

    2024年02月10日
    浏览(48)
  • 应用层—HTTP详解(抓包工具、报文格式、构造http等……)

    HTTP (全称为 “超文本传输协议”) 是一种应用非常广泛的 应用层协议 。 我们平时打开一个网站,就是通过 Http 协议来传输数据的。 学习 Http 需要先了解 http 协议格式,这里就需要用到 抓包工具 。抓包工具本质上是一个代理。 代理:代理是一种网络服务,它充当客户端和目

    2024年01月22日
    浏览(40)
  • 使用 Burp Suite 暴力破解密码 撞库攻击 从0到1手摸手教学

    一个学习的过程 增加自己网络安全知识 切勿用于违法用途 设置密码尽量使用6位以上并规避简单数字组合、加强对同一ip的频繁访问次数限制、设置人机验证减小撞库攻击的危害 本地环境 kali 2022 Burp Suite FireFox 靶机环境 一台服务器 CentOS 7 宝塔面板 一个域名(你不会没有吧)

    2024年02月09日
    浏览(41)
  • 计算机网络 - 应用层http协议 - http报文格式介绍(1)

    本篇认识和理解应用层中的http协议,了解抓包工具并进行使用,认识请求报文与响应报文,了解报文中基本键值对意思例如:Set-Cookie, 状态码等,如有错误,请在评论区指正,让我们一起交流,共同进步! 本文开始 ① 根据输入的url,在域名系统DNS中进行解析获取对应的服务

    2024年02月12日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包