渗透测试入门(HTTP、HTTPS)— 理论知识

最新推荐文章于 2022-09-17 03:23:15 发布
最新推荐文章于 2022-09-17 03:23:15 发布
阅读量716 收藏 1
点赞数
分类专栏: 渗透测试系列文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/k_0101/article/details/119028536
版权

渗透测试入门(HTTP、HTTPS)

HTTP和HTTPS的具体区别?

要想弄懂,HTTP和HTTPS的具体区别,我们得先认识一下什么是HTTP?

老规矩,先看百度百科👇

超文本传输协议Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣,因为它使开发和部署非常地直截了当。

​ 重点:

​ 1、超文本传输协议,运行在TCP之上

​ 2、请求和响应消息的头

文中开头就说到了,HTTP被称为超文本传输协议,互联网中还有一种说法,被叫做HTTP协议,后面还提到它是运行在TCP之上的,也就是说HTTP协议是构建在TCP之上的,所以要想理解HTTP协议,就需要先了解一下什么是TCP,但由于TCP的体系过于庞大,这里就不过多介绍了,这里只说明能帮助我们理解HTTP协议的TCP知识(TCP/IP四层模型),如果想要深入学习TCP相关知识的话,建议百度或谷歌(TCP/IP协议)

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali渗透学习-HTTPS攻击(Openssl、sslscan、sslyze、检查SSL的网站)
weixin_43239236的博客
01-23 1374
HTTPS的作用 解决的是信息传输过程中数据被篡改、窃取  【从中注入恶意代码,多为链路劫持】 涉及的加密:对称、非对称、单向 HTTPS攻击方法 降级攻击 解密攻击(明文、证书伪造) 协议漏洞(贵宾狗)、https实现方法的漏洞(参考心脏出血漏洞原理)、配置不严格 SSL(Secure socket layer) 保证网络通信安全的加密协议 TLS 它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本,可以理解为SSL 3.1  【为了兼容性问题,低版本的TLS还在使用】 SSL与TLS的
Android渗透测试入门教程
09-16
Android渗透测试入门教程
渗透测试入门
11-11
渗透测试时为了证明网络按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具。
渗透测试入门——渗透测试笔记
01-27
本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,这两个 CMS同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。根据提示,第1题要求找到咨询平台的管理员账号密码;第2题需要登录服务器后台,并插入木马,再用中国菜刀连接,继而找到在管理员桌面上的 flag文件;第3题要求在论坛社区的数据库中找到admin账户的salt值。题目链接: 解题链接:
渗透测试入门.txt
12-16
2018下半年最新渗透测试入门视频教程
Web渗透测试入门视频课程.txt
06-11
Web渗透测试入门视频课程,基础知识,简单易懂,主要介绍系统和工具的使用,是渗透入门首选课程,能配合靶场练习的话进步就很快了。
burpsuite_pro_v1.7.32 网络渗透http,https抓包修改工具
10-10
Burp suite是一款集成型渗透测试工具,是用于攻击web应用程序的集成平台,包含了许多工具。注册机和主程序都包含在压缩包里面了,只要修改run.bat下的java路径为你的最新jre路径即可启动。windows可用!
渗透测试基础之http协议基础
m0_46304840的博客
02-12 1257
目录 前言 正文 http的工作流程(快速理解) 关于url的构成 HTTP请求包与返回包 请求包: 返回包: 常见的header: 前言 我又来了,更新速度有点快,莫得办法,贼无聊~~~ 想不出骚话了,略过~~~~ 正文 http的工作流程(快速理解) 什么是客户端? 客户端可以理解成用户 指浏览器 什么是服务端? 服务端可以理解成商店 ...
渗透测试-HTTP协议风险
道阻且长,行则将至。
01-03 1992
前言 渗透测试过程中,必不可少的操作就是使用BurpSuite、Fildder等抓包工具对应用程序的数据包进行拦截、观察和篡改。心中一直有所疑惑——对于使用HTTPS协议的站点,在BurpSuite中拦截到的数据包为何也是“明文传输”?如下图所示。 从大神那里获得解答: (1) BurpSuite能抓到HTTPS协议的“明文数据”是因为BurpSuite在本地浏览器安装了自己的证书,作为中间人...
网站渗透测试
野生C猿的专栏
09-25 4494
目录[TOC] 公司的网站需要渗透测试,学习了一下渗透测试的方法,记录下,方便后期查阅。(1) 暴力破解1.1 风险分析:数据传输过程使用非加密的http协议,因此可对数据传输过程进行抓包分析;用户名、密码明文,且未设置验证码,导致可进行暴力破解,以获取身份凭证信息1.2 加固建议1:使用https 加密传输 可以在apache或者tomcat下配置好证书,启用https就ok,网上很多
web渗透测试----19、HTTP请求走私--(1)HTTP请求走私漏洞的挖掘
七天
12-30 3866
HTTP请求走私漏洞简介 HTTP请求走私漏洞的产生 HTTP请求走私漏洞的挖掘
web渗透测试----19、HTTP请求走私--(2)HTTP请求走私漏洞的利用
七天
01-18 1553
HTTP请求走私漏洞的利用
网络安全入门渗透测试思路分享1
cy15625010944的博客
12-16 459
渗透测试信息收集步骤、网站、工具分享 工作之前,我以为渗透测试是盯着一个网站挖掘漏洞。工作后我知道渗透测试需要收集资产信息,扩大测试面,从目标弱点入手。参加完这次活动之后,我又领悟到了——只要锁定目标,路径其实无所谓。 废话不多说,记录自己总结的渗透测试信息收集的流程,网站和工具,刚刚入门,如有错误希望大佬们指点! 针对单个系统(网站): 网站信息收集:操作系统,服务器,后台语言,数据库类型 尽可能全端口扫描,检测端口运行的服务 敏感信息收集,源码备份 目录信息收集,robots.txt、web.xml等等
渗透测试小白系列】之简单使用BurpSuite及请求包、响应包的格式和含义
anweikao4197的博客
09-21 2484
(本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦) 一、HTTP协议基础 HTTP:HyperText Transfer Protocol,超文本传输协议 1.协议特点: 简单快速,请求方式get post head等8中请求方式 无连接(一次请求就断开)无状态(没有记忆功能,不会记录任何信息) 2.支持的模式:B/S、C/S...
Kali linux 学习笔记(五十七)Web渗透——https攻防(openssl、sslscan、sslyze) 2020.4.1
闵行小鱼塘
04-01 1574
学习https攻防
网络渗透HTTP请求
qq_32519139的博客
09-17 169
在后面的学习中,我们会拦截发出的请求,并修改为我们需要的样子发送,从而欺骗网站,实现网络渗透。点击Burpsuit下方的Raw,可以看到一堆英文字符,这些字符就是前面提到的HTTP请求,我们现在用Burpsuit软件把请求拦截了。(这就是你发起了开门的请求)过了一会儿,门开了。在电脑上,我们同样提前约定好了,只要按照规定的方式向服务器发送请求,就可以收到对应的回应。在电脑上,你打开浏览器,输入网址:www.danshengou.club。接着浏览器上显示了网站的画面,这就是网站对你的请求做出的回应。
渗透测试基础,初识渗透测试
大河之犬的博客
06-23 3317
1、脚本(asp、php、jsp)3、HTTP协议4、CMS内容管理系统(B/S)5、MD5/加盐(salt)6、肉鸡、抓鸡、DDOS、cc(耗费自己的CPU资源分配代理服务器)7、一句话、小马、大马webshell、提权、后门、跳板、rookit8、源码打包、脱裤、暴库9、嗅探、rookit、社工11、src平台、0day12、事件型漏洞,通用型漏洞13、web服务器、web容器、中间件。
安全基础-渗透流程 HTTP请求
lijie19870626的博客
10-16 272
什么是渗透渗透就是模拟黑客攻击找到企业程序中的漏洞,找到漏洞后输出一份漏洞报告,报告里边有修复漏洞的建议。 时间、耐心、细心、精力集中必不可少。 渗透也分为几类: 白帽子,查找企业漏洞提交修复。 黑帽黑客,这类人可能有背景或者其它利益相关会,查找漏洞并且深入获取信息。 常规渗透: 保密协议 针对性目标测试 指定范围测试 非常规: ART攻击 红蓝对抗 HTTP即超文本传输协议,是一种详细规定了...
第十三章(一)—WEB渗透HTTP协议基础)
weixin_43876557的博客
07-23 301
WEB攻击面 network os web server app server web application database browser HTTP协议基础 明文 没有任何内建的机密性安全机制。 嗅探或代理截断可查看全部明文信息。 https只能提高传输层安全。只是在传输过程中起到加密作用。对于服务器端和应用程度端代码漏洞是没用的。https也是可以被中间人劫持窃取监听的。 无状态 每一次客户端和服务器端的通信都是独立的过程。 web应用需要跟踪客户端会话(多步通信)。 不使用cookie
网络安全渗透测试入门
最新发布
07-27
网络安全渗透测试是一项重要的技术,用于评估系统和网络的安全性,发现潜在的漏洞和弱点。以下是一些入门的步骤和建议: 1. 学习基础知识:了解计算机网络、操作系统和常见的漏洞类型,包括身份验证、授权、输入验证、配置错误等。 2. 学习渗透测试方法:了解渗透测试的基本方法和常用工具,如信息收集、扫描、漏洞利用和权限维持等。 3. 了解法律和道德问题:确保你了解相关法律和道德规范,遵守国家和地区的法律法规,并获得合法的授权进行渗透测试。 4. 设置实验环境:建立一个安全的实验环境,例如使用虚拟机或容器,以便在没有对真实系统造成影响的情况下进行实践。 5. 信息收集:使用各种技术和工具,如WHOIS查询、端口扫描、网络映射等,收集目标系统和网络的信息。 6. 漏洞扫描:使用自动化工具(如Nmap、OpenVAS等)进行漏洞扫描,发现系统中存在的已知漏洞。 7. 漏洞利用:根据扫描结果,选择合适的工具和技术进行漏洞利用,以验证系统中的漏洞。 8. 提供报告和建议:将渗透测试的结果整理成报告,包括发现的漏洞、风险评估和建议修复措施。 9. 持续学习和实践:网络安全领域变化迅速,持续学习新的技术和攻击方法,并通过实践提升自己的技能。 请注意,在进行渗透测试时,务必遵守法律和道德规范,并获得合法的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值