首页 > 其他分享 >1--Web安全、渗透测试、基础入门--数据包

1--Web安全、渗透测试、基础入门--数据包

时间:2024-07-21 13:59:21浏览次数:20  
标签:Web HTTP 浏览器 请求 -- Cookie 头标 服务器 数据包

Web的组成架构模型

1.网站源码

2.操作系统

windows,linux

3.中间件(搭建平台)

apache,tomcat等

4.数据库

access,mysql,oracle,sybase等

Web相关安全漏洞

1.Web源码类对应漏洞

SQL注入,文件上传,XSS,代码执行,变量覆盖,逻辑漏洞,反序列化等

2.Web中间件对应漏洞

3.Web数据库对应漏洞

4.Web系统层对应漏洞

5.其他第三方对应漏洞

6.APP或PC应用结合类

网站解析对应

简要网站搭建过程

涉及到的攻击层面:源码,搭建平台,系统,网络层等

涉及到的安全问题:目录,敏感文件,弱口令,IP及域名等

HTTP和HTTPS

http和https
httphttps
HTTPHTTP
TCPSSL or TLS
IPTCP
IP

定义

http协议

超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准,是以 ASCII 码传输,建立在 TCP/IP 协议之上的应用层规范,简单点说就是一种固定的通讯规则。

https协议

HTTPS协议是以安全为目标的HTTP通道,其实就是HTTP的升级版本。

通信过程

http简要通信过程


建立连接—>发送请求数据包—>返回响应数据包—>关闭连接
1.浏览器建立与web服务器之间的连接
2.浏览器将请求数据打包(生成请求数据包)并发送到web服务器
3.web服务器将处理结果打包(生成响应数据包)并发送给浏览器
4.web服务器关闭连接

https简要通信过程

区别

1.HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的SSL加密传输协议。
2.HTTP采用80端口连接,而HTTPS则是443端口。
3.HTTPS协议需要到ca申请证书,一般免费证书很少,需要交费,也有些web容器提供,如TOMCAT。HTTP协议不需要。

Cookie

什么是Cookie

Cookie: Cookie实际上是一小段的文本信息(key-value格式)。

作用

客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。

类型

会话Cookie:保存在内存中,由浏览器维护,浏览器关闭后消失。
持久性Cookie:保存在硬盘里,有过期时间,用户手动清理或到了过期时间,持久性Cookie会被删除。
Expires属性:Cookie中的maxAge用来表示该属性,单位为秒。

Request请求数据包数据格式

请求行、请求头、空行、请求体

1.请求行

请求类型/请求资源路径、协议的版本和类型

请求行由三个标记组成:请求方法、请求URL和HTTP版本,它们用空格分享。

例如:GET/index.html HTTP/1.1

请求方法:GET           请求URL:/index.html          HTTP版本:HTTP/1.1

HTTP规划定义了8钟可能的请求方法:

GET:检索URL中标识资源的一个简单请求

HEAD:与GET方法相同,服务器只返回状态行和头标,并不返回请求文档

POST:服务器接受被写入客户端输出流中的数据的请求

PUT:服务器保存请求数据作为指定URL新内容的请求

DELETE:服务器删除URL中命令的资源的请求

OPTIONS:关于服务器支持的请求方法信息的请求

TRACE:web服务器反馈http请求和其头标的请求

CONNECT:已文档化,但当前未实现的一个方法,预留做隧道处理

2.请求头

一些键值对,浏览器与web服务器之间都可以发送,特定的某种含义

由关键字/值对组成,每行一对,关键字和值用冒号分享。

请求头标通知服务器腾于客户端的功能和标识。
HOST: 主机或域名地址
Accept:指浏览器或其他客户可以接爱的MIME文件格式。Servlet可以根据它判断并返回适当的文件格式。
User-Agent:是客户浏览器名称
Host:对应网址URL中的Web名称和端口号。
Accept-Langeuage:指出浏览器可以接受的语言种类,如en或en-us,指英语。
connection:用来告诉服务器是否可以维持固定的HTTP连接。http是无连接的,HTTP/1.1使用Keep-Alive为默认值,这样,当浏览器需要多个文件时(比如一个HTML文件和相关的图形文件),不需要每次都建立连接
Cookie:浏览器用这个属性向服务器发送Cookie。Cookie是在浏览器中寄存的小型数据体,它可以记载和服务器相关的用户信息,也可以用来实现会话功能。
Referer:表明产生请求的网页URL。如比从网页/icconcept/index.isp中点击一个链接到网页/icwork/search,在向服务器发送的GET/icwork/search中的请求中,Referer是http://hostname:8080/icconcept/index.isp.这个属性可以用来跟踪Web请求是从什么网站来的。
Content-Type:用来表名request的内容类型。可以用HttpServletRequest的getContentType()方法取得。
Accept-Charset:指出浏览器可以接受的字符编码。英文浏览器的默认值是ISO-8859-1.
Accept-Encoding:指出浏览器可以接受的编码方式。编码方式不同于文件格式,它是为了压缩文件并加速文件传递速率。浏览器在接收到web响应之后先解码,然后再检查文件格式。
 

3.空行

请求头与请求体之间用一个空行隔开

最后一个请求头标之后是空行,发送回车符和退行,通知服务器一下不再有头标

4.请求体

要发送的数据(一般Post提交会使用)

使用POST传送,最常使用的是Content-type和Content-Length头标

Response返回数据包数据格式

一个响应由四个部分组成:状态行、响应头标、空行、响应数据。

1.状态行

协议版本、数字形式的状态代码和状态描述,个元素之间以空格分隔

2.响应头标

包含服务器类型、日期、长度、内容类型等

像请求头标一样,它们指出服务器的功能,标识出响应数据的细节

3.空行

响应头与响应体之间用空行隔开

最后一个响应头标之后是一个空行,发送回车符和退行,表明服务器以下不再有头标

4.响应数据

浏览器会将实体内容中的数据取出来,生成相应的页面

HTML文档和图像等,也就是HTML本身


HTTP响应码

1xx;信息,请求收到,继续处理
2xx:成功,行为被成功地接受、理解和采纳
3xx:重定向,为了完成请求,必须进一步执行的动作
4xx;客户端错误
5xx;服务器错误
200 存在文件
403 存在文件夹
3xx 均可能存在
404 不存在文件及文件夹
500 均可能存在



 

标签:Web,HTTP,浏览器,请求,--,Cookie,头标,服务器,数据包
From: https://blog.csdn.net/2301_77946674/article/details/140578054

相关文章

  • 计算机课设——基于Java web的超市管理系统
    smbms_java_web基于Javaweb的超市管理系统,数据库课程设计1.引言是一个基于JavaWeb连接MySQL的小项目。超市管理系统(smbms)作为每个计算机专业的大学生都是一个很好的练手项目,逻辑层次分明,基础功能包括用户的登录和注销,用户和供应商以及订单信息的增删查改的基础功能......
  • 为何你还在坚持用数组?容器不比它香几条街?「上」
    以下内容为本人的烂笔头,如需要转载,请声明原文链接微信公众号「ENG八戒」https://mp.weixin.qq.com/s/tm2OKiLBQL2GBCd2ho6i5AC/C++到了寿终正寝的时候否?最近被热议的「美国白宫提倡软件开发者放弃使用C/C++这种语言再进行新的软件开发」。作为一名热衷于高性能架构开......
  • 【前端】JavaScript入门及实战21-25
    文章目录21关系运算符22编码23相等运算符24条件运算符25运算符优先级21关系运算符<!DOCTYPEhtml><html><head><title></title><metacharset="utf-8"><scripttype="text/javascript"> /* 通过关系运算符可以比较两个值之间的大小关系, 如果关......
  • 【OSCP系列】OSCP靶机-driftingblues7_vh(原创)
    【OSCP系列】OSCP靶机—driftingblues7_vh原文转载已经过授权原文链接:Lusen的小窝-学无止尽,不进则退(lusensec.github.io)一、主机发现二、端口扫描1、快速扫描2、全端口扫描3、版本系统探测66端口是个python开放的http服务,80端口是http服务,但是重定向到了44......
  • 【OSCP系列】OSCP靶机-Cybersploit(原创)
    【OSCP系列】OSCP靶机-Cybersploit(原创)OSCP系列靶机—Cybersploit原文转载已经过授权原文链接:Lusen的小窝-学无止尽,不进则退(lusensec.github.io)一、主机发现二、端口扫描1、快速扫描nmap.exe-F192.168.31.512、全端口扫描3、服务版本识别nmap.exe-sV......
  • OpenJudge | 点评赛车
    总时间限制:1000ms内存限制:65536kB描述4名专家对4款赛车进行评论1)A说:2号赛车是最好的;2)B说:4号赛车是最好的;3)C说:3号赛车不是最好的;4)D说:B说错了。事实上只有1款赛车最佳,且只有1名专家说对了,其他3人都说错了。请编程输出最佳车的车号,以及说对的专家。输入无输入......
  • 【2024最新华为OD-C/D卷试题汇总】[支持在线评测] LYA的生日派对座位安排(200分) - 三
    ......
  • java多线程等待唤醒机制详细介绍
    java多线程等待唤醒机制一.方法介绍方法说明voidwait()线程等待,等待的过程中线程会释放锁,需要被其他线程调用notify方法将其唤醒,重新抢锁执行voidnotify()线程唤醒,一次唤醒一个等待线程;如果有多条线程等待,则随机唤醒一条等待线程voidnotifyAll()唤醒所有等待线......
  • Datawhale AI夏令营学习笔记 (3)
        在上一篇DatawhaleAI夏令营学习笔记(2)-CSDN博客中我们尝试使用了机器学习的方法进行回归预测。本篇,我们分为两个方面来探索。一方面,我们将继续使用机器学习的方法,在原有的数据上做更多特征工程,在预测上我们使用更多的算法模型。另一方面,我们尝试使用深度学习的方......
  • 【前端】JavaScript入门及实战51-55
    文章目录51函数52函数的参数53返回值54练习55return51函数<!DOCTYPEhtml><html><head><title></title><metacharset="utf-8"><scripttype="text/javascript"> /* 函数: 1.函数也是一个对象 2.函数中可以封装一些功能......