Http协议基础

Web技术发展【http://www.cnblogs.com/ProgrammerGE/articles/1824657.html

静态WEB【网页】

动态WEB

  • 属于一种应用程序
  • 基于数据库
  • 每个人看到的内容不同
  • 根据用户输入,返回不同结果

WEB攻击类型有数百种

WEB攻击面

1、Network

2、OS

3、WEB Server

4、APP Server

5、Web Application

6、Database

7、Browser

HTTP协议基础【http://www.cnblogs.com/ksxs/articles/772140.html

明文协议,无机密安全机制

无内建的机密性安全机制

嗅探或代理截断可查看全部明文信息

https只能提高传输层安全【依然可以做中间人攻击】

中间人攻击(伪造证书)【http://www.cnblogs.com/LittleHann/p/3735602.html

无状态

每一次客户端和服务器段的通信都是独立的过程

WEB应用需要跟踪客户端会话(多步通信)

不适用cookie的应用,客户端每次请求都要重新身份验证【http://www.cnblogs.com/fish-li/archive/2011/07/03/2096903.html

##cookie等同与session ID

Session用于在用户身份验证后跟踪用户行为轨迹【session会定时失效】

·提高用户体验,但增加了攻击向量

Cycle

请求/响应:

重要的header

Set-Cookie:服务器发给客户端的SessionID (存在被窃取的风险,可冒充别人身份)

Content-Length:响应body部分的字节长度【用于模糊测试】

Location:重定向用户到另一个页面,可识别身份认证后允许访问的页面

Cookie:客户端发回给服务器证明用户状态的信息(头:值成对出现)

Referrer:发起新请求之前用户位于哪个页面,服务器基于此头的安全限制很容易被修改绕过

Host:基于host头进行安全限制很容易被修改绕过

状态码

服务器端响应的状态码白鸥时响应的结果类型(5大类50多个具体状态码)

查看状态码:http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

100s:服务器响应的信息,通常表示服务器还有后续处理,很少出现

200s:请求被服务器成功接受并处理后返回的响应结果

300s:重定向,通常在身份认证成功后重定向到一个安全页面(301/302)

400s:表示客户端请求错误

1、401:需要身份验证

2、403:拒绝访问

3、404:目标未发现

500s:服务器内部错误(503:服务不可用)

小白日记27:kali渗透测试之Web渗透-Http协议基础,WEB的更多相关文章

  1. python 全栈开发,Day66(web应用,http协议简介,web框架)

    一.web应用 web应用程序是一种可以通过Web访问的应用程序,程序的最大好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件.应用程序有两种模式C/S.B/S.C/S是客户端 ...

  2. web应用,http协议简介,web框架

    一.web应用 web应用程序是一种可以通过Web访问的应用程序,程序的最大好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件.应用程序有两种模式C/S.B/S.C/S是客户端 ...

  3. web服务器/HTTP协议基础

    1.http协议:一种规范和约定,实现客户端和服务器的通信2.http请求格式:请求行+请求头+请求体 请求行:method + request-URI + http-version 方法+请求的资源 ...

  4. JavaWeb:Web与HTTP协议简介

    JavaWeb:Web与HTTP协议简介 Web的概念 什么是Web: Web是网络上使用最广泛的分布式应用架构. 旨在共享分布在网络上的各个Web服务器中的所有互相连接的信息. 三个特征: 用HTM ...

  5. 小白学习安全测试(一)——Http协议基础

    Http协议基础 Web技术发展[http://www.cnblogs.com/ProgrammerGE/articles/1824657.html] 静态WEB[网页] 动态WEB 属于一种应用程序 ...

  6. Web(click and script) 与 Web(HTTP/HTML)协议区别

    先从最简单的说明上来看, Web(HTTP/HTML):       Emulation of     communication between a    browser and Web Serve ...

  7. ​Web(click and script) 与 Web(HTTP/HTML)协议区别

    Web(click and script) 与 Web(HTTP/HTML)协议区别 webjavascriptvbscript浏览器脚本login 先从最简单的说明上来看, Web(HTTP/HTM ...

  8. 小白日记28:kali渗透测试之Web渗透-扫描工具-Nikto

    扫描工具-Nikto #WEB渗透 靶机:metasploitable 靶场:DVWA[默认账号/密码:admin/password] #新手先将DVWA的安全性,调到最低,可容易发现漏洞 侦察[减少 ...

  9. 小白日记30:kali渗透测试之Web渗透-扫描工具-Skipfish

    WEB渗透-skipfish Skipfish是一个命令行模式,以C语言编写的积极的Web应用程序的安全性侦察工具,没有代理模式. 它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探 ...

随机推荐

  1. 2016传统行业“互联网+”元年,你准备好了吗?

    李克强总理在2015年的政府报告中的提出了"互联网+"的概念! 2015年,几十.上百本以"互联网+"作为书名的书出版! 2015年,各种传统行业的信息化被冠上 ...

  2. CentOS VPS创建pptpd VPN服务

    原文地址http://www.hi-vps.com/wiki/doku.php?id=xen_vps_centos6_install_pptpd CentOS VPS创建pptpd VPN服务 Xen ...

  3. C语言——递归练习

    1.炮弹一样的球状物体,能够堆积成一个金字塔,在顶端有一个炮弹,它坐落在一个4个炮弹组成的层面上,而这4个炮弹又坐落在一个9个炮弹组成的层面上,以此类推.写一个递归函数CannonBall,这个函数把 ...

  4. Android自定义TTF字体

    前言: 在Android Design中一个设计手册.在设计手册中有常用的UI图标,图标大小规范等. 其中,有一个TTF字体,以前感觉没什么用.但是我在学习时,常看到有许多开发者使用Google 提供 ...

  5. Hold住:坚持的智慧

    这类励志的书读完时,感觉很激励人,可读完后总觉得空空的.同样这本书读完后没特别的感觉(也许书中的思想已影响了我,只是目前还说不太清楚),只感觉有些句子很有感觉,做个汇总: 1.      荀子有言:“ ...

  6. 【现代程序设计】【homework-07】

    C++11 中值得关注的几大变化 1.Lambda 表达式 Lambda表达式来源于函数式编程,说白就了就是在使用的地方定义函数,有的语言叫“闭包”,如果 lambda 函数没有传回值(例如 void ...

  7. ubuntu 备份安装程序列表

    一般情况下,我们重装ubuntu的系统会做如下几个事情 1)修改默认的程序更新源 2)开始根据需求安装软件. 3)配置文件(如vim/tmux等) 对于步骤,只需要cp /etc//etc/apt/s ...

  8. codeforces300A Array

    A. Array time limit per test 2 seconds memory limit per test 256 megabytes input standard input outp ...

  9. C#学习笔记(十二):正则表达式

    Regex 正则表达式的类,我们可以通过该类来使用正则表达式. 比如下面我们使用Regex来判断输入的字符串是否符合指定的格式: using System; using System.Text.Reg ...

  10. 高扩展的基于NIO的服务器架构

    当你考虑写一个扩展性良好的基于Java的服务器时,相信你会毫不犹豫地使用Java的NIO包.为了确保你的服务器能够健壮.稳定地运行,你可能会花大量的时间阅读博客和教程来了解线程同步的NIO selec ...