安全基础-渗透流程 HTTP请求

最新推荐文章于 2022-07-14 16:56:41 发布
最新推荐文章于 2022-07-14 16:56:41 发布
阅读量272 收藏
点赞数
文章标签: 渗透流程 HTTP请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lijie19870626/article/details/102585022
版权

什么是渗透?
渗透就是模拟黑客攻击找到企业程序中的漏洞,找到漏洞后输出一份漏洞报告,报告里边有修复漏洞的建议。
时间、耐心、细心、精力集中必不可少。

渗透也分为几类:
白帽子,查找企业漏洞提交修复。
黑帽黑客,这类人可能有背景或者其它利益相关会,查找漏洞并且深入获取信息。

常规渗透:
保密协议
针对性目标测试
指定范围测试

非常规:
ART攻击
红蓝对抗

HTTP即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础。

1991年发布的0.9版

1996年5月,HTTP/1.0 版本发布

1997年1月,HTTP/1.1 版本发布

2015年,HTTP/2 发布

最早版本是1991年发布的0.9版。该版本极其简单,只有一个命令GET。

1996年5月HTTP/1.0发布,引入了POST命令和HEAD命令,丰富了浏览器与服务器的互动手段。

1997年1月,HTTP/1.1 版本发布,一直用到了20年

HTTP/1.1版的最大变化,就是引入了持久连接(persistent connection),即TCP连接默认不关闭,可以被多个请求复用。

客户端和服务器发现对方一段时间没有活动,就可以主动关闭连接。不过,规范的做法是,客户端在最后一个请求时,发送Connection: close,明确要求服务器关闭TCP连接。

HTTP请求方法:
HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。

HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

lijie19870626
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透HTTP通信详解及web编码方案
赤赤三的博客
03-21 423
Burp suite 神器 初步使用: 为什么使用burp suite(浏览器里输入百度,直接是看不到跟服务器的通信过程的,可以通过此软件看到通信的过程) 查看代理服务器的设置,手动设置电脑的代理服务器设置为 127.0.0.1,端口为8080 浏览器里打开网站,点击截断,可以看到请求包的信息 设置回应包展示的信息,勾选服务器响应拦截选项: 设置Burp suite拦截https的请求与响应,证书的导出与导入 找到自己账户下面新建一个文件 打开谷
渗透测试入门(HTTPHTTPS)— 理论知识
K_0101的博客
07-23 699
渗透测试入门(HTTPHTTPS) HTTPHTTPS的具体区别? 要想弄懂,HTTPHTTPS的具体区别,我们得先认识一下什么是HTTP? 老规矩,先看百度百科???? ​ 超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣,因为它使
渗透测试基础http协议基础
m0_46304840的博客
02-12 1251
目录 前言 正文 http的工作流程(快速理解) 关于url的构成 HTTP请求包与返回包 请求包: 返回包: 常见的header: 前言 我又来了,更新速度有点快,莫得办法,贼无聊~~~ 想不出骚话了,略过~~~~ 正文 http的工作流程(快速理解) 什么是客户端? 客户端可以理解成用户 指浏览器 什么是服务端? 服务端可以理解成商店 ...
HTTP接口测试经验总结
qq_39395596的博客
02-14 155
目录 1.1 开场白 1.2 你数据结构怎么学的 链接到第二个 链接 开场白 你数据结构怎么学的 链接到
渗透测试-HTTP协议风险
道阻且长,行则将至。
01-03 1986
前言 渗透测试过程中,必不可少的操作就是使用BurpSuite、Fildder等抓包工具对应用程序的数据包进行拦截、观察和篡改。心中一直有所疑惑——对于使用HTTPS协议的站点,在BurpSuite中拦截到的数据包为何也是“明文传输”?如下图所示。 从大神那里获得解答: (1) BurpSuite能抓到HTTPS协议的“明文数据”是因为BurpSuite在本地浏览器安装了自己的证书,作为中间人...
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全http方法问题及解决方案.doc
网络安全-渗透完整笔记
03-27
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用...
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
内网安全攻防-渗透测试指南 读书笔记
网络安全渗透测试流程.xmind
最新发布
11-27
网络安全渗透测试全流程思维导图,包括: 1.明确目标 2.信息收集的方式 3.漏洞扫描的方式 4.漏洞验证的方式 5.信息整理 6.形成报告 核心点集中在信息收集,漏洞扫描,漏洞验证这三个方面,是一个很好的参考流程,...
web安全检查-渗透测试教程
03-18
web安全检查-渗透测试教程
vulnhub靶机AI-Web-1.0渗透笔记
weixin_52125240的博客
07-14 1280
vulnhub靶机AI-Web-1.0渗透笔记
Mission-Pumpkin v1.0: PumpkinGarden(南瓜花园)靶机的渗透测试
siaowei44的博客
07-02 681
描述 Mission-Pumpkin v1.0是初学者级别的CTF系列。该CTF系列适用于对黑客工具和技术具有基本知识,但又难以应用已知工具的人们。南瓜花园是Mission-Pumpkin v1.0下3台机器的系列的第1级。第2级识别南瓜种子,第3级是南瓜节。感兴趣的可以到vulvhub上下载其他级别的靶机。 第1级的最终目标是获得对存储在根帐户中的PumpkinGarden_key文件的访问权限。 南瓜花园靶机下载地址:https://www.vulnhub.com/entry/mission-pu
kali渗透实战3---HTTP账号密码获取
spec_yue
04-01 2235
这篇文章的基础是kali渗透实战2,需要提前知晓的知识:arp欺诈,让宿主机的流量进过本机转发 ettercap attercap -Tq -i eth0 这样就能截取密码了,用我自己做的网站为例 点击登录之后看看kali的机器能不能截取密码 登录成功,去看看kali 如图,已经获取到了用户名和密码,可见网站仅仅有csrf防护是不够的,我试了一下qq的账户密码是不可获取的,下一步需要完善一下...
Vulnhub靶场渗透-Breach1.0
paidx0
09-08 1504
Vulnhub简介 Vulnhub是一个提供各种漏洞环境的一个靶场平台,大部分环境都是虚拟机镜像文件,预先设计各种漏洞 需要使用VMware或VirtualBox 运行,每个镜像都有破解的目标,从启动虚拟机到获取系统的 root 权限和查看 flag https://www.vulnhub.com/ Breach1.0靶机信息 breach1.0 是一个难度初级到中级的Boot2Root/CTF挑战 静态ip(192.168.110.140),配置环境到同一个网段,我用的kali (192.168.110.
渗透菜鸟之路一(了解渗透以及HTTP通信原理)
zdc_56的博客
03-24 657
渗透测试 : 是为了证明网络防御按照预期计划正常运行而提供得一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具以确保所有的补丁都已经打上。如果你早已做了这些,为什么还要请外方进行审查或者渗透测试呢?因为,渗透测试能够独立的检查你的网络策略,换句话说,就是给你的系统加上一双眼睛,而且,进行这类测试的,都是虚招网络系统安全漏洞的软也人士。 技术架构-...
关于渗透的理解和HTTP协议基础知识
wj193165zl的博客
07-11 529
渗透分为常规的渗透和非常规渗透 常规渗透就是指,公司去找第三方安全公司与第三方安全公司签订安全保密协定,然后让第三方公司对自己的产品做安全测试,并让安全公司给自己的产品出具安全报告。 一般的常规渗透都是对指定的某个产品在规定的范围内进行,也就是又针对性的目标和范围。常规渗透流程如下图: 非常规渗透:如APT攻击和红蓝对抗,这种渗透通常是为了获取利益或者破坏为主,它没有边界和指定的目标。...
张小白的渗透之路(一)——HTTP协议详解
Litbai_zhang
09-20 1450
HTTP简介 HTTP(Hyper Text Transfer Protocol 超文本传输协议),是互联网上应用最为广泛的一种网络协议。基于TCP/IP通信协议来传递数据(HTML文件,图片文件,查询结果等) 目前HTTP的版本是HTTP/1.1 HTTP/2.0正在设计当中 HTTP工作原理 HTTP协议采用C/S的工作架构,通常我们使用浏览器充当客户端角色通过URL(传输数据和建立连接...
史上最强内网渗透知识点总结
热门推荐
3569
06-02 3万+
https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247487491&idx=1&sn=270336c6cca79b4a4e5d777d41ce71b7&chksm=ec1e202bdb69a93dba0f48f973132958c95d86b2db2b6d70b8ddd1cbe41c187fa08ca4c...
渗透测试 | WEB渗透 | 1-HTTP协议基础
太尉司马懿的博客
10-05 745
WEB技术发展 静态WEB 动态WEB 动态WEB 应用程序 数据库 每个人看到的都不一样 根据用户输入返回不同结果 WEB攻击面 Network OS WEB Server APP Server WEB Application Database Browser HTTP协议基础明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 HTTPS只是提高了传输层安全 无状态 每一次客户端和服务
渗透测试基础学习流程与技巧
05-15
渗透测试是一种评估计算机系统、网络或应用程序安全的方法。其基本流程包括: 1. 信息收集:收集目标的信息,如域名、IP地址、端口、操作系统、应用程序等。 2. 漏洞扫描:使用自动化工具扫描目标系统,寻找可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值