安全测试(1)

原创 2015年11月20日 23:35:40

Http基础知识

 HTTP(Hypertext transfer protocol)-->超文本传输协议,是一种详细规定了浏览器和万维网服务器(www)之间互相通信的规则,通过因特网传送万维网文档

的数据传送协议。运行于OSI模型的应用层,由请求和响应两部分构成。HTTP协议是无状态的协议。无状态指HTTP协议对于事务处理没有记忆力。缺少事务

状态意味着若后续处理需要前面的信息,则必须重传,可能导致每次连接传送的数据量增大。基于事务处理的需要,出现了cookie和session技术。

(一)  请求和响应:

         基于HTTP协议的客户端/服务器模式的信息交换过程:

         1. 建立连接:连接的建立是通过申请套接字实现的。客户打开一个套接字,并把它约束在一个端口上,

                             若成功,就相当于建立一个虚拟文件。以后就可以通过向该虚拟文件上写数据并通过网络向外传送;

         2. 发送请求:打开一个连接后,客户机把请求消息送到服务器的停留端口上,完成提出请求的动作;

         3. 发送响应:服务器在处理完客户请求之后,要向客户机发送响应消息;

         4. 关闭连接:通过关闭套接字来结束会话。HTTP协议属于应用层协议,其连接、关闭、信息交换在传输层是由TCP协议保证的。

                             而传输层的信息交换是由下层网络层的IP协议来保证。


          HTTP请求由三部分组成:请求的方法、请求头、请求正文。

          HTTP响应包含:协议状态代码描述、响应头、响应正文。

          HTTP响应状态码分析:

                                  1XX:信息响应类。表示接收到请求并继续处理。

                                  2XX:处理成功响应类。

                                  3XX:重定向响应类。

                                  4XX:客户端错误。

                                  5XX:服务器端错误。

(二)  状态保持-->cookie&session技术:

         1.HTTP协议需要保持状态的必要性:想想淘宝的购物车....( 此处略去一万字,非本文重点)

         2.实现HTTP状态保持的方案:

            a.修改HTTP协议,使其支持状态保持;(不现实)

            b.使用cookie技术,由客户端来保持状态信息;(可行)

            c.使用session技术,由服务器端来保持状态信息;(可行)

          3.cookie技术:

             概念:cookie是服务器发送给客户端的特殊信息,用来记录客户端状态。cookie以文本方式保存在客户端,每次请求时需要。

             特点:cookie在客户端,只能保存字符串,不能保存其它对象类型。且需要客户端浏览器支持。      

             采用cookie技术需要解决的问题:

                    cookie创建:cookie cookie = new cookie("guest","1"); 

                    cookie类:javax.servlet.http.cookie;

                    构造:public cookie (string name,string value);

                    设置cookie的过期时间:cookie.setMaxAge(int lifetime);

                    cookie的修改和删除:cookie不提供修改和删除操作。若要修改某个cookie,只要新建一个同名的cookie,并添加到response中覆盖原来

                                                    的cookie;若要删除某个cookie,只要新建一个同名cookie,并将maxAge设置为0,并添加到 response中覆盖原来

                                                    的cookie即可。

           4.session技术:

               概念:客户端浏览器访问服务器时,服务器把客户信息以某种形式记录到服务器上就是Session。当客户端浏览器再次访问时

                         只需要从该session中根据是否包含SessionID来查找该客户的状态。

               特点:session在用户第一次访问服务器时自动创建。若只访问HTML、IMAGE等静态资源时,不会创建Session。

                         每次客户端发送请求,服务器端都会检查是否含有sessionID。状态信息保存在服务器端,安全性高。可支持任何类型的对象。

                实现:1.在客户端与服务器端传递JSessionID,使用客户端cookie来保存SessionID。

                          2.若客户端禁用cookie。使用URL重写,直接在URL后附加上Session id 信息。

                采用Session技术需要解决的问题:

                        获取 Session:request.getSession();

                        保存信息到Session:Session.SetAttribute(String name,Object  oo);             

                        设置Session有效时间:public void setMaxInactiveInterval(int interval)

                        在web.xml中设置会话超时,单位是分钟:

                        <session-config>   

                                 <session-timeout>10</session-timeout>

                        </session-config>


                 Session的创建和删除:

                        httpSession.invalidate()       // 手工销毁Session

                        Request.getSession(true)     // 强制生成Session   

                        HttpSession.getId()              // 获取SessionID


 

(三)  HTTPS原理:

        HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即在HTTP下加入SSL层,HTTPS的安全基础是SSL。因此加密的详细内容就需要SSL。

HTTPS使用SSL加密传输协议,使用端口443。采用https的服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有

用于对应的服务器的时候,客户端才信任此主机。访问合法的HTTPS网站,在URL地址栏会有一个绿色的标识。提示使用的是HTTPS。



版权声明:本文为博主原创文章,未经博主允许不得转载。

JAVA i++线程非安全测试1

i++ 线程非安全分析

安全测试-威胁建模学习笔记1

前言: 构建新系统与更新老系统,设计与实施要考虑防御入侵的手段,威胁建模是种手段. 威胁的分类:来自网络,来自主机,来自应用。 威胁建模的定义: 结构化标识、定量、定位威胁的方...
  • xl_lx
  • xl_lx
  • 2014年09月04日 11:06
  • 1339

web安全测试(中文版)清晰版

  • 2017年12月12日 17:06
  • 58.91MB
  • 下载

安全测试之未验证的重定向(redirectUrl)和转发

首先说一下我个人理解的重定向和转发的表象区别: redirect是服务端根据逻辑,发送一个状态码,告诉浏览器重新去请求那个地址.所以地址栏显示的是新的URL。(重定向是在客户端完成的) 转发是服务器请...

安全测试工具

  • 2014年12月20日 16:47
  • 12.2MB
  • 下载

安全测试工具---穿山甲

  • 2017年09月21日 13:51
  • 1.15MB
  • 下载

开源Web安全测试工具调研

skipfishhttps://code.google.com/p/skipfish/Google公司发布了一款称为“Skipfish”的自动Web安全扫描程序,以降低用户的在线安全威胁。Google...

AppScan的Web应用安全测试使用简明

  • 2017年08月18日 18:02
  • 3.13MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:安全测试(1)
举报原因:
原因补充:

(最多只允许输入30个字)