http协议层级 内容 加密 效率 ==>web站点安全
1.层级:
------------------------------------------------------------------------------------------
www==>html http url
apache
http 属于 tcp/ip
4层 应用层 传输层 网络层 链路层
ip(路由中转) tcp(3次握手) dns(域名解析)
客户端请求 dns解析 tcp传输 ip传送 tcp接收 http解析
------------------------------------------------------------------------------------------
url属于uri
uri http://user:pass@www.example.jp:80/dir/index.html?uid=1#ch1
2.内容:
------------------------------------------------------------------------------------------
http协议 请求行-方法 uri 协议版本 状态行-协议版本 状态码 原因短语
首部(请求 响应 实体 通用)
http方法
get 获取资源
post 传输实体
put 传输文件
head 获取报文首部
delete 删除文件
options 询问支持方法
trace 追踪路径
connect 建立隧道
link
unlink
状态码:有时和真实状况不一致,
1xx 请求处理中
2xx 请求正常处理完毕 200
3xx 附加操作完成请求 301 302 304
4xx 服务端无法处理请求 401 403 403
5xx 服务端处理请求出租哦 500 502 503
------------------------------------------------------------------------------------------
3.效率:
------------------------------------------------------------------------------------------
持久连接 keep-alive
管线化 :并行发送请求
cookie状态管理:请求 -响应发送cookie -请求带cookie | sessionId http_only ==>xss
http传输:
压缩 gzip
分割 transfer coding
发送多种数据 MIME
范围请求 content-range content-type content-length
内容协商 accept-encoding languange charset
单台虚机实现多个域名 host
通信数据转发 :代理via 缓存 | 网关 sql查询 和 隧道 ssh
缓存 服务端和客户端都有,客户端如果判定过期,也可向源服务器发起请求
------------------------------------------------------------------------------------------
4.加密
------------------------------------------------------------------------------------------
https:
加密信息 验证身份 确定信息完整性,只加密报文主体,不包括首部
http ssl tcp ip
加密算法公开 ,秘钥保密|
公开秘钥加密(非对称加密):发送密文的一方使用对方公钥进行加密,再使用自己的私有密钥进行解密,不需要发送私有秘钥,
https采用混合加密:交换秘钥用公钥,建立通信用共享秘钥
安全性高,但是速率较慢
身份认证:
basic 401 明文密码
digest 首部,加密密码
ssl -机器 + 表单 -用户
------------------------------------------------------------------------------------------
5.web
------------------------------------------------------------------------------------------
ajax(局部刷新 产生大量请求)+comet(推送 长连接耗时)==>spdy 多路复用 优先级别 压缩首部 服务端推送
websocket 推送+减少通信量
web应用:
java servlet+cig
说明:CGI Common Gateway Interface 通用网关接口,是指web服务器在接收到客户端发送过来的请求后转发给程序的一组机制,CGI程序包括 PHP Ruby Perl
数据发布格式和语言: XML JSON(false null true 对象 数组 数组 字符串) RSS
安全
web攻击技术:http
http本身不存在安全性问题,但是客户端和服务端才是攻击目标
主动(sql注入 os命令注入 目录遍历/远程包含漏洞)和被动(xss csrf http首部注入)
其他:密码破解 点击劫持 Dos 后门
xss
动态生成html出发生
预先设计的陷阱
偷窃cookie和用户信息
http首部:设置cookie 固定session 显示任意主体 重定向至任意url
设计漏洞:
强制浏览:文件 目录
不正确的错误消息处理(web应用 数据库错误)
开放重定向 http://www.example.com?redirect=http://hakcer.jp
会话管理:
固定 (php私自创建sessionId并让用户访问,使其得到认证)+xss(获取cookie中的sessionId) =>劫持
跨站点请求伪造
--已通过认证的用户权限更新信息
--已通过认证的用户权限购买商品
--已通过认证的用户权限发表言论
其他漏洞:
密码破解:网络密码试错—穷举法 已加密密码破解-彩虹表
点击劫持:iframe覆盖,用户触发点击
DoS攻击:发送合法请求,耗尽系统资源
后门程序:开发者 or 攻击者 调用
------------------------------------------------------------------------------------------
首部
通用:cache-control connection date pragma trailer transfer-encoding upgrade via warning
请求:accept accept-charset accept-encoding accept-language authorization expect from host if-match -f=modified-since if-none-match
if-range if-unmodified-since max-forwards proxy-authorization range referer user-aget
响应 :accept-ranges age etag location proxy-authenticate retry-after server vary www-authenticate
实体:allow content-encoding content-language content-length content-location content-md5 content-range content-type expires last-modified
+cookie: set-cookie cookie
+other:x-frame-options x-xss-protection dnt p3p
扫一扫
212
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
