请求URI的方式 1.URI为完整的请求URI GET http://hackr.jp/index.htm HTTP/1.1 2.在首部字段Host中写明域名或IP地址 GET/index.htm HTTP/1.1 Host:hackr.jp 3.用一个*代表请求(前提是:不是访问特定资源而是对服务器本身发器请求) OPITIONS * HTTP/1.1 //OPTION是获取访问的服务器支持的HTTP请求方法 GET和POST 首先我们先看一下GET请求 首先用任意一个浏览器打开网页:http…

本系列讲解WEB安全所需要的HTTP协议 #WEB安全基础 : HTTP协议 | 0x0 TCP/IP四层结构 #WEB安全基础 : HTTP协议 | 0x1 TCP/IP通信 #WEB安全基础 : HTTP协议 | 0x2 HTTP有关协议通信 #WEB安全基础 : HTTP协议 | 0x3 TCP三次握手和DNS服务  #WEB安全基础 : HTTP协议 | 0x4 各种协议与HTTP协议的关系(一个报文的旅行) #WEB安全基础 : HTTP协议 | 0x5 URI和URL #WEB安全基…

学完HTML/CSS了? 做了这么多网页,但是你知道它们是怎么工作的吗? 作为你的朋友,我也对这些东西感兴趣,在写博客的同时也在和你一起学. 废话少说,进入正题 网络中的通信包括两个端分别为:客户端(client)和服务器(server) 客户端给服务器发出请求,服务器给客户端返回响应 WEB是在TCP/IP协议族(注意:TCP/IP并不是一个协议而是很多协议组成的协议族)上运作的而HTTP也在这个协议族之内 TCP/IP最重要的是分层,分别是: 1.应用层 2.传输层 3.网络层 4.数据链路…

HTTP作为一个大规模使用的网络协议就真的安全了吗? 我们知道互联网为什么叫互联网,你可以在任何地方都可以与之相连,所以在这些可以连接的点上都可以获取互联网的部分信息. 那么HTTP通信时有什么缺点吗? 首先我们在用wireshark抓宝时可以看到报文的全部内容,因此HTTTP是不加密的,它的通信使用明文. 而且它也不会验证通信方的身份,所以可能遭遇伪装. 我们既然可以在中途进行抓宝,所以我们也可以将其篡改,所以在这一点HTTP报文是可以被篡改的. 我们之所以能用抓包工具看清楚HTTP报文中的一…

我们是怎么让邮件里又有图片又有文字的? 文字和图片是两个不同的类型,而邮件又是一个类型. C语言的结构体允许用户定义一个含有多类型的自定义类型 像这样,看不懂没关系,你只要知道邮件里有多个类型就可以了  typedef struct myType = { int num; char words[20]; }; 那么在HTTP传输里有什么机制支持邮件可以使用多种类型呢? 猜对了,就是MIME(多用途邮件扩展) 在MIME中会使用多部分对象集合的方法来容纳不同的数据 相应地,HTTP协议也采用了多部…

公开秘钥加密&&共享秘钥加密 这两个冗长的短语,让我拿什么理解? 我们知道HTTPS有加密功能,以上的两个短语很常用.先摆在这,接下来开始尝试理解它们. 共享秘钥加密(对称秘钥加密):之所以叫做“共享”,从字面上理解就是通信双方的秘钥是共享的.“对称”不就是通信双方的秘钥相同吗. 使用这种方法通信的双方都使用同一个秘钥,且加密时需要把秘钥发给对方(否则对方没办法解密 就尴尬了) 但是,你就不怕自己的秘钥被劫持.这样劫持者就可以解密了. 所以我们需要另外一种方法即公开密钥加密 公开秘钥加密(…

"你好,我是HTTPS,我只是披了个外壳,我还是原来的HTTP." 这是HTTPS叫我转达给你的话. HTTPS本质上就是HTTP,只不过加了点调料.它比HTTP更安全,使用了加密措施和认证措施. 使用HTTPS通信双方都持有证书,且通信线路经过加密和完整性保护(为了不被篡改报文) 事实上HTTPS就是给HTTP加上一层SSL和TLS的外壳,就像两个门神... HTTPS和TCP通信时,先由HTTP和SSL或TLS通信,然后是SSL和TCP通信,SSL或TLS就成为了一条较为安全的桥梁…

#以后的知识都是HTTP协议的扩展,如果精力有限可以选择暂时忽略,注意只是暂时忽略,以后的东西同样重要 HTTP传输数据时可以直接传输也可以对数据进行编码,由于编码在计算机内运行,所以会占用一些CPU资源 报文(message):HTTP通信的基本单位,由八位组字节(由八个bit组成的一字节)流组成通过HTTP通信传输 实体(entity):作为请求或响应的有效载荷数据被传输,其内容由实体首部和实体主体组成 HTTP报文的主体用于传输请求和下响应的实体主体.通常,报文主体等于实体主体,只有当传输…

你需要认识一些常见的头部以及了解报文的详细结构 请求报文的请求行 GET/HTTP/1.1 响应报文的响应行 HTTP/1.1 200 OK 想必这些大家都知道了 请求 我访问一个页面 Host //访问的域名. \r\n //就是CR-LF Connection //请求保持的时间 User-Insecure-Requests : 1 //服务器可以读懂客户端发出的信息,它以后会用https而不是http User-Agent //客户端的相关信息(系统版本,浏览器版本) Accept //客…

TCP/IP是如何通信的呢? 请看图 用TCP/IP协议族通信时,会通过分层顺序与对方进行通信.发送端从应用层往下走,接受层从链路层往上走. 客户端为了浏览界面在应用层发送请求,为了方便传输在传输层的TCP协议把应用层发来的数据分割,并在每个报文上标记序号和端口号后转发给网络层 在网络层的IP协议增加作为通信目的地的MAC地址后转发给链路层 接收端的服务器在链路层接收数据,按序往上层传送到应用层,这就是真正接收到客户端发送过来的请求 请看下图加以理解 发送端在层和层之间传输数据时,每经过一层一定…

IP,TCP,DNS协议与HTP协议密不可分 IP(网际协议)位于网络层,几乎所有使用网络的系统都会用到IP协议 IP协议的作用:把数据包发送给对方,要保证确实传送到对方那里,则需要满足各类条件.两个重要条件是IP地址和MAC地址. (IP 不等于 IP地址)IP是协议,IP地址不是 IP地址指明了节点被分配到的地址,MAC地址是指网卡所属的固定地址,IP地址可以和MAC地址进行配对,IP地址可交换,但MAC地址基本上不会更改 使用ARP协议凭借MAC地址进行通信 ARP协议是地址解析协议,所属…

TCP三次握手精准无误地把数据送达目标处,TCP协议把数据包送出去后,向对方确认是否成功发送,握手过程中使用了TCP的标志(flag)——SYN和ACK 请看图 若握手中断,TCP协议再次从同样顺序发送相同数据包,除了三次握手,还有其他手段来保证通信的可靠性. DNS服务和HTTP协议一样在应用层,提供域名到IP地址之间的解析服务. DNS服务给计算机分配IP地址 计算机既可以被赋予IP地址,也可以被赋予主机名和域名,如:www.hackr.jp 用户容易理解域名,但计算机容易理解IP地址,所以…

报文是怎么旅行的呢? 在网络中有很多引路人,如HTTP协议,IP协议.TCP协议.DNS协议以及ARP协议. 请看下图,演绎一个报文的旅程 这就是一个报文的完整请求过程,请加以理解并记忆 //本系列教程基于<图解HTTP>,此书国内各大购物网站皆可购买 转载请注明出处  by:M_ZPHr 最后修改日期:2019-01-31…

欢迎来到HTTP最精彩的部分 请注意:应用HTTP协议时,必定有一方担任客户端,另一方担任服务器 客户端向服务器发出请求,服务器向客户端返回响应 下面是一个请求与相应的例子: 请求: GET /index.htm HTTP/1.1 HOST:hackr.jp Connect:keep-alive Content-Type: application/x-www-form-urlen coded CR+LF name=ueno%age=37 GET是访问服务器用的HTTP请求方法 常用的是GET和P…

wireshark是开源,免费,跨平台的抓包分析工具 我们可以通过wireshark学习HTTP报文和进行抓包分析,在CTF中的流量分析需要用到抓包 1.下载和安装 这是wireshark的官网 https://www.wireshark.org/download.html windows下不必多说,大家肯定会傻瓜式安装,kali linux 系统下自带wireshark 2.wireshark介绍 本地连接是自己的物理机,上面的两个是虚拟机,因为没有开启所以没有数据流 如你所见这个版本的wir…

说道Cookie,你喜欢吃饼干吗? 这里的Cookie不是饼干=_= HTTP不对请求和响应的通信状态进行保存,所以被称为无状态协议,为了保持状态和协议功能引入了Cookie技术 Cookie技术在请求和响应报文中写入Cookie信息来控制客户端的状态 Cookie根据从服务器发送的请求报文内的一个叫Set-Cookie的首部字段信息,通知客户端保存Cookie,当下次客户端再访问该服务器发送请求时,客户端会自动在请求报文中加入Cookie值后再发送 服务器发现客户端发送的Cookie后,会检查…

我带着你,你带着钱,咱们去喝点饮料吧. 老板久仰你的大名,请你帮忙设计一个网站宣传他的饮料店 你要制定一个完美的方案还需要多学点东西 我先帮你设计一下 这是存放网站的文件夹 这是根目录   这是about文件夹   这是beverages文件夹   存放CSS文件的文件夹(这是外部调用所以需要一个CSS文件,我们以前写的网页都是内部调用)   存放图片的images文件夹   首先,我要展示我写的index.html   以下是代码 <!DOCTYPE html> <html> &…

现在想做点什么事都需要证书,要不就会让我们回忆起一个典故:滥竽充数 HTTPS使用了公开密钥加密,如何保证公开密钥就是真正的公开密钥呢?攻击者可能会替换公开密钥,这时候就需要验证,所以它采用了数字证书这种方法. 首先数字证书认证机构(CA)要被信任,然后服务器的管理员才敢去申请数字证书,下面是基本流程: 服务器把公开秘钥发给CA(数字证书认证机构),CA用自己的私有秘钥对服务器发来的公开密钥进行加密,颁发数字签名,在这之前CA的公开密钥已经植入到浏览器里了 然后,用户访问服务器时,用CA的公开密…

我们提到过HTTP是不安全的. 由于任何人都可以向服务器发送请求,而并不会验证身份,所以这就会引发一些问题: 1,发出响应的服务器是否为正确的服务器 2,发送请求的客户端是否为正确的客户端 3,通信双方是否有浏览信息的权限 4,传输的海量数据可能是无用的,这样就造成了拒绝服务攻击 这些问题让HTTP不堪一击,但是HTTPS解决了这些问题: SSL提供证书,验证双方是否为正确的通信双方. 客户端会在和服务器通信前确认证书 HTTP也不知道报文是否被修改,这一点也值得注意,在报文传输中可能被拦截,修…

HTTP通信中,请求的编码实体资源没全部传输完成之前,浏览器无法显示页面,所以传输大容器数据时,把数据分块,能让浏览器逐步显示页面,这就叫分块传输模块 请看分块传输的流程图 每一块都会用十六进制来标记块的大小,而实体主体的最后一块会使用“0(CR-LF)”来标记 使用分块传输编码的实体主体会由接收内容的客户端负责解码,恢复到编码前的实体主体 HTTP/1.1 存在一种传输编码的机制,他可以在通信时按照某种编码方式来传输,但只定义作用于分块传输编码中 对于编码的研究,以后可以仔细学习,如算法,密码…

URI(统一资源标识符)和URL(统一资源定位符)相信大家都知道URL吧,我们看看它们有什么区别 URI 长得就像这样 /images/hackr.jepg URL 长得像这样 http://hackr.jp 关于URL的格式请看下图 关于片段标识符和查询字符串,我们在html上使用过 关于查询字符串 关于片段标识符 //本系列教程基于<图解HTTP>,此书国内各大购物网站皆可购买 转载请注明出处  by:M_ZPHr 最后修改日期:2019-02-01…

本系列讲解WEB安全所需要的HTML和CSS #WEB安全基础 : HTML/CSS | 0x0 我的第一个网页 #WEB安全基础 : HTML/CSS | 0x1初识CSS #WEB安全基础 : HTML/CSS | 0x2初识a标签 #WEB安全基础 : HTML/CSS | 0x3文件夹管理网站 #WEB安全基础 : HTML/CSS | 0x4HTML模块化 #WEB安全基础 : HTML/CSS | 0x4.1嵌套列表 #WEB安全基础 : HTML/CSS | 0x5a标签拓展和cl…

上文web基础简介了web到底是什么,以及身为Java开发人员需要掌握的地方.本文将解答web服务器是什么,怎么使用?还有关于http协议的基础知识. web服务器 web服务器的大概念很广泛,但是通俗易懂的来说,就是指的是网站服务器,它是建立在Internet之上并且驻留在某种计算机上的程序.或者再简单来说,你的电脑安装了服务器软件并且连上了Internet,那你的电脑就可以说一个服务器了,对 就是这么简单,并不是多么高深的知识.只不过就是性能各个方面比较低就是了.一般公司中会有个专门个性能强…

HTTP协议 HTTP协议简介 超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式.协作式和超媒体信息系统的应用层协议.HTTP是万维网的数据通信的基础. HTTP的发展是由蒂姆·伯纳斯-李于1989年在欧洲核子研究组织(CERN)所发起.HTTP的标准制定由万维网协会(World Wide Web Consortium,W3C)和互联网工程任务组(Internet Engineering Task Force,IETF)进行协调,最终…

简介 对于您的站点的访问者来说,智能化的内容缓存是提高用户体验最有效的方式之一.缓存,或者对之前的请求的临时存储,是HTTP协议实现中最核心的内容分发策略之一.分发路径中的组件均可以缓存内容来加速后续的请求,这受控于对该内容所声明的缓存策略. 在这份指南中,我们将讨论一些Web内容缓存的基本概念.这主要包括如何选择缓存策略以保证互联网范围内的缓存能够正确的处理您的内容.我们将谈一谈缓存带来的好处.副作用以及不同的策略能带来的性能和灵活性的最大结合. 什么是缓存(caching)? 缓存(cach…

Web应用与应用层协议 本篇博文中的主要参考文献是<计算机网络高级教程>,分别是吴功宜老先生和吴英教授合著.这部教程是我研究生老师所推荐的网络必读科目,由于该教程讲解的基础知识详细,但内容颇多,达700多页.特将各章节主要内容总结,后续各章节将逐步更新,由于本人学识有限,仅总结的是作者自己认为重要的内容.   文章中的Why表示产生的背景,也就是说为什么会产生该技术,What表示该技术是什么,How表示该技术是如何使用的.以下将用字母表示各问题. 应用层协议分为3种基本类型:基础设施类.网络应…

B-S架构 架构的发展 1,c/s架构 (client客户端-server服务端)         (胖客户端:要求客户端运行业务:把业务放到服务器端,则是瘦客户端)         典型的c/s应用:ftp工具.QQ.邮件系统.杀毒软件...         1.建立在tcp/ip协议之上,有自己的通信规则(建立业务)          2.需要相互配合才能完成一个完整业务逻辑         3.允许多个客户端程序同时接入一个server程序(并发)          4.每一个client…

web应用 Web应用程序是一种可以通过web访问的应用程序,程序的最大好处是用户很容易访问应用程序,用户只需要有浏览器即可,不需要再安装其他软件. 应用程序有两种模式C/S.B/S.C/S是客户端/服务器端程序,也就是说这类程序一般独立运行.而B/S就是浏览器端/服务器端应用程序,这类应用程序一般借助谷歌,火狐等浏览器来运行.WEB应用程序一般是B/S模式.Web应用程序首先是“应用程序”,和用标准的程序语言,如java,python等编写出来的程序没有什么本质上的不同.在网络编程的意义下,浏…

Web服务基础 用户访问网站的基本流程 我们每天都会用web客户端上网,浏览器就是一个web客户端,例如谷歌浏览器,以及火狐浏览器等. 当我们输入www.oldboyedu.com/时候,很快就能看到老男孩教育的官网了,这一切看起来很平淡无奇,背后又是什么道理呢?普通人可以不知道,但是咱们作为it开发人员,必须得掌握清楚背后的技术. 下面超哥为你揭晓用户访问网站的基本流程 老男孩教育某python总监,讲了一天课感觉很累,下了班躺床上打开他的macbook pro,双击浏览器,输入www.por…

#web服务基础知识c/s 客户端/服务器b/s 浏览器/服务器 nginx   >   web  server  服务端浏览器  >    web  client  客户端 #dns解析流程 1.首先用户输入一段url,在浏览器  www.oldboyedu.com 2.(dns解析的第一步)浏览器会首先在你的机器上,寻找一个hosts文件,这是本地测试dns解析文件2.(第二步)如果hosts文件未指定解析记录,浏览器就去机器的dns缓存中寻找解析记录  LDNS(local dns缓存)…