二十、HTTP協議

1.WEB技術:

  • 靜態WEB
  • 動態WEB:
  • 應用程序
  • 數據庫
  • 每人看到的內容不同
  • 根據用戶輸入返回不同結果

2.WEB攻擊面:

從web來說,應該從整體上考慮在整個web訪問、構建構成中,需要哪些環節,然后在針對每個環節進行分析:

  • Network:網絡
  • OS
  • WEB Server
  • App Server
  • Web Application
  • Database
  • Browser

3.HTTP協議基礎

3.1 明文傳輸

  • 無內建的機密性安全機制
  • 嗅探或代理階段可查看全部明文信息
  • https只能提高傳輸層安全(可以通過中間人劫持,將加密數據流一分為二,由中間人構造證書接收client請求,并由中間人在發給server,接收也是一分為二的過程)

3.2 無狀態

  • 每一次客戶端和服務器端的通信都是獨立的過程
  • WEB由于需要跟蹤客戶端會話(多步通信)
    不適用cookie的應用,客戶端每次請求都要重新身份驗證(不太實際)(cookie可以存放session id,與session不是一個概念)
  • Session用于在用戶身份驗證后跟蹤用戶行為軌跡(提供用戶體驗,但增加了攻擊向量)

3.3 Cycle單元

請求/響應:一個http基本的單元就是一個請求對應一個響應

3.4 重要的header

  • server響應header
  • Set-Cookie:服務器發給客戶端的Sesssion ID(Session ID的值放在Set-Cookie字段里返回給客戶端,存在被竊取的風險)
  • Content-Length:響應body部分的字節長度(暴力破解中,根據server返回給client返回頁面的長度,可以判斷是否破解成功)
  • Location:重定向到另一個頁面,可識別身份認證后允許訪問的頁面(用戶登錄成功后看到的頁面)
  • client請求header
  • Cookie:客戶端發回給服務器證明用戶狀態的信息(頭=值,成對出現)
  • Referrer:發起新請求之前用戶位于哪個頁面,服務器基于此頭的安全限制很容易被修改繞過

3.5 狀態碼

服務端響應的狀態碼表示響應的結果類型(5大類50多個具體響應碼)

  • 100s:服務器響應的信息,通常表示服務器還有后續處理,很少出現
  • 200s:請求被服務器成功接受并處理后返回的響應結果
  • 300s:重定向,通常在身份認證成功后重定向到一個安全頁面(301永久重定向/302臨時重定向)
  • 400s:表示客戶端請求錯誤
  • 401:需要身份驗證
  • 402:拒絕訪問
  • 404:目標未發現
  • 500s:服務器內部錯誤(503:服務不可用)
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 228,238評論 6 531
  • 死咒
    序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 98,430評論 3 415
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 176,134評論 0 373
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,893評論 1 309
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 71,653評論 6 408
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 55,136評論 1 323
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,212評論 3 441
  • 雙鴛鴦連環套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 42,372評論 0 288
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 48,888評論 1 334
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 40,738評論 3 354
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 42,939評論 1 369
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,482評論 5 359
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 44,179評論 3 347
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,588評論 0 26
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,829評論 1 283
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 51,610評論 3 391
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 47,916評論 2 372

推薦閱讀更多精彩內容

  • Spring Cloud為開發人員提供了快速構建分布式系統中一些常見模式的工具(例如配置管理,服務發現,斷路器,智...
    卡卡羅2017閱讀 134,781評論 18 139
  • 一、概念(載錄于:http://www.cnblogs.com/EricaMIN1987_IT/p/3837436...
    yuantao123434閱讀 8,405評論 6 152
  • 本篇文章篇幅比較長,先來個思維導圖預覽一下。 一、概述 1.計算機網絡體系結構分層 2.TCP/IP 通信傳輸流 ...
    滌生_Woo閱讀 55,113評論 24 557
  • http協議有http0.9,http1.0,http1.1和http2三個版本,但是現在瀏覽器使用的是htt...
    一現_閱讀 1,879評論 0 3
  • Http協議詳解 標簽(空格分隔): Linux 聲明:本片文章非原創,內容來源于博客園作者MIN飛翔的HTTP協...
    Sivin閱讀 5,243評論 3 82