安全学习DAY10_HTTP数据包

这篇具有很好参考价值的文章主要介绍了安全学习DAY10_HTTP数据包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

HTTP数据包

小节导图

安全学习DAY10_HTTP数据包,安全学习笔记-基础入门,安全,学习,http
1、HTTP/S数据包请求与返回

2、请求包头部常见解释和应用

3、返回包状态码值解释和应用

4、HTTP/S测试工具Postman使用

Request请求数据包结构

安全学习DAY10_HTTP数据包,安全学习笔记-基础入门,安全,学习,http

Request请求方法(方式)

1、常规请求 -Get

2、用户登录 - Post(大多登录或文件上传用Post,但用别的也可以,不一定)

方法罗列:

  • get:向特定资源发出请求(请求指定页面信息,并返回实体主体);

  • post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改;

  • head:与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类

似,返回的响应中没有具体内容,用于获取报头);

  • put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与post的区别是put为幂等,post为非幂等;

  • trace:回显服务器收到的请求,用于测试和诊断。trace是http8种请求方式之中最安全的l

  • delete:请求服务器删除request-URL所标示的资源*(请求服务器删除页面)

  • option:返回服务器针对特定资源所支持的HTML请求方法 或web服务器发送*测试服务器功能(允许客户 端查看服务器性能);

  • connect : HTTP/1.1协议中能够将连接改为管道方式的代理服务器

请求头(Header)

重点:

User-Agent(UA),区分浏览器和操作系统以及版本,有些网站会根据访问设备的不同来提供不同的,个性化的服务(例如PC端和手机端显示界面不同),或者限制一些设备的访问

Cookie,存储登录的身份凭据

MDN详解:

https://developer.mozilla.org/zh-CN/docs/web/http/headers

安全测试例子:

某个APP有个漏洞,在PC端复现测试该漏洞时,可能会出现异常(数据包不同,PC访问特定地址和APP访问的数据包不同,可能会无法显示,无法处理),需要更改UA头以发送请求数据包。

Response响应数据包结构

安全学习DAY10_HTTP数据包,安全学习笔记-基础入门,安全,学习,http

Response响应数据包状态码

状态码作用:

1、数据是否正常

2、文件是否存在

3、地址自动跳转

4、服务提供错误

部分状态码详解

1xx:指示信息—表示请求已接收,继续处理。

2xx:成功—表示请求已经被成功接收、理解、接受。

3xx:重定向—要完成请求必须进行更进一步的操作。

4xx:客户端错误—请求有语法错误或请求无法实现。

5xx:服务器端错误—服务器未能实现合法的请求。

•200 OK:客户端请求成功

•301 redirect:页面永久性移走,服务器进行重定向跳转;

•302 redirect:页面暂时性移走,服务器进行重定向跳转,具有被劫持的安全风险;

•400 BadRequest:由于客户端请求有语法错误,不能被服务器所理解;

•401 Unauthonzed:请求未经授权。

•403 Forbidden:服务器收到请求,但是拒绝提供服务。

•404 NotFound:请求的资源不存在,例如,输入了错误的URL;

•500 InternalServerError:服务器发生不可预期的错误,无法完成客户端的请求;

•503 ServiceUnavailable:服务器当前不能够处理客户端的请求

判断网站文件是否存在的状态码(常用

200 文件存在

404 文件不存在

403 文件夹存在(没有索引,index.php)

500 可能存在或不存在,服务器错误,没处理好请求,不知道文件/文件夹是否存在

3xx 重定向,可能存在或不存在

1、容错处理,网站访问错误就自动跳转到某个页面,不存在

2、访问某个文件,自动触发跳转,存在

相关工具

BurpSuite

扫描网站目录

御剑

Postman

写请求,自定义请求的工具,自定义任意的头和内容,发包测试

常常用来提交HTTP数据包的工具,API接口渗透测试和HTTP发包测试中和burpsuite都会经常会用到,有些功能相对burp来说更智能便捷

burp是集抓包和修改与一体的工具,两款工具有各自的优势,根据情况选择性使用

安全测试举例:

sqlmap -u www.xxx.com/x.php?id=1 不存在 因为默认sqlmap访问头进行注入

www.xxx.com/x.php?id=1 包

sqlmap -r data.txt 存在 采用提交的数据包去访问

测试思路

  • 数据包唯一性
    安全测试部分测试需要数据包一致

  • 数据包可修改性
    通过对数据包修改增加等测试安全问题文章来源地址https://www.toymoban.com/news/detail-627481.html

到了这里,关于安全学习DAY10_HTTP数据包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 基础入门 HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断

    1、常规请求-Get 2、用户登录-Post •get:向特定资源发出请求(请求指定页面信息,并返回实体主体); •post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改; •head:与服务器索与get请求一致的相应,响应体不会

    2024年01月21日
    浏览(37)
  • 010-基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断

    ➢数据-方法头部状态码 ➢案例-文件探针登录爆破 ➢工具-Postman自构造使用 -方法 1、常规请求-Get 2、用户登录-Post •get:向特定资源发出请求(请求指定页面信息,并返回实体主体); •post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源

    2024年01月19日
    浏览(42)
  • 第二节:基础入门-Web 应用&架构搭建&漏洞&HTTP 数据包&代理服务器

    基础入门-Web 应用架构搭建漏洞HTTP 数据包代理服务器 #网站搭建前置知识 域名,子域名,DNS,HTTP/HTTPS,证书等 购买一台服务器,填完信息之后,会有两个内外网地址,这两个地址就是内部地址和公网地址 得到公网地址后可以用xshell或远程桌面管理连接这台服务器,这里我们

    2024年02月19日
    浏览(41)
  • Flask框架小程序后端分离开发学习笔记《2》构建基础的HTTP服务器

    Flask是使用python的后端,由于小程序需要后端开发,遂学习一下后端开发。本节提供一个构建简单的本地服务器的代码,仔细看注释,学习每一步的流程,理解服务器接收请求,回复响应的基本原理。 代码效果,运行之后,在浏览器输入:localhost:2000 总结 1.导入socket库:这个库

    2024年01月18日
    浏览(43)
  • 如何学习网络安全?(零基础入门网络安全学习笔记)

    概括来说,网络安全课程的主要内容包括: 安全基本知识 应用加密学 协议层安全 Windows安全(攻击与防御) Unix/Linux安全(攻击与防御) 防火墙技术 入侵监测系统 审计和日志分析 下面分别对每部分知识介绍相应的具体内容和一些参考书。 一、安全基本知识 这部分的学习过

    2024年02月11日
    浏览(45)
  • 计算机网络学习day02|HTTP协议

    目录 一、HTTP报文格式长什么样?是如何分割的? 请求行 状态行 头部字段 常用头字段 小结 二、HTTP提供了哪些方法?GET和POST的区别是什么? 1.HTTP有哪些方法 2.GET/HEAD 3.PSOT/PUT 小结 三、URI和URL URI 的格式 URI 的基本组成 URI 的查询参数 小结 四、HTTP有哪些状态码?分别代表什

    2024年04月23日
    浏览(46)
  • 010-基础入门-HTTP数据包&;Postman构造&;请求方法&;请求头修改&;状态码判断

    2、Cookie-身份替换 见上图 首先抓取PC浏览器网站登录上去的数据包 再抓取模拟机上登录失败的数据包 把数据包中的cookie进行替换,发现模拟机上从登陆失败变成登陆成功 结论: Response状态码 选中抓取数据包,发送至repeater( Repeater 是一个手动修改并补发个别 HTTP 请求,并分

    2024年04月23日
    浏览(38)
  • 【Node.js学习 day3——http模块】

    命令行 ctrl + c 停止服务 当服务启动后,更新代码必须 重启服务才能生效 响应内容中文乱码的解决办法 端口号被占用 关闭当前正在运行监听端口的服务(使用较多) 修改其他端口号 HTTP协议默认端口是80。HTTP服务开发常用端口有3000,8080,8090,9000等。 想要获取请求的数据,需

    2024年02月02日
    浏览(52)
  • web渗透安全学习笔记:1、入门基础知识/ XXS漏洞

        自编写python渗透工具编写学习笔记专栏以来,笔者便发现了一个较为严重的问题:我们大多数文章都是学习如何用python编写扫描与利用漏洞的渗透工具,却没有真正解析漏洞的形成原因,长此以往我们的学习就只会浮于表面,广而不深。为了改变这一现状,笔者决定以深

    2024年02月03日
    浏览(55)
  • JAVA基础学习笔记-day14-数据结构与集合源码2

    博文主要是自己学习JAVA基础中的笔记,供自己以后复习使用,参考的主要教程是B站的 尚硅谷宋红康2023大数据教程 君以此始,亦必以终。—左丘明《左传·宣公十二年》 7.1 List接口特点 List集合所有的元素是以一种 线性方式 进行存储的,例如,存元素的顺序是11、22、33。那

    2024年01月18日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包