图解HTTP 笔记（完）

poggioxay

已于 2022-07-14 11:29:08 修改

阅读量324

点赞数 2

分类专栏：理论知识文章标签： HTTP

于 2021-08-05 23:18:47 首次发布

本文链接：https://blog.csdn.net/m0_55854679/article/details/119382052

版权

理论知识专栏收录该内容

6 篇文章 0 订阅

订阅专栏

文章目录

确认访问用户身份的认证
基于HTTP的功能追加协议
构建web内容的技术
web的攻击技术

/图解HTTP 笔记一、二

确认访问用户身份的认证

密码：只有本人才会知道的字符串信息
动态令牌：仅限本人持有的设备内显示的一次性密码
数字证书：仅限本人持有的信息
生物认证：指纹和虹膜等本人的生理信息
IC卡等：仅限本人持有的信息

HTTP的认证方式

BASIC认证（基本认证）
DIGEST认证（摘要认证）
SSL客户端认证
FormBase认证（基于表单的认证）
Keberous认证
NTLM认证

BASIC认证

是web服务器与通信客户端之间的认证方式。

认证步骤： 在这里插入图片描述

第二步中当用户代理为浏览器时，只需要输入ID和密码，浏览器会自动完成到Base64编码的转换。
虽然采用Base64加密，但这并不是加密处理，因此被人窃听的可能性较高。
要想再进行一次BASIC认证，一般浏览器无法注销，不够快捷灵活，达不到web网站期望的安全性等级，不常用

DIGEST认证

同样使用质询/响应【一开始一方发送认证，且这一方接收到来自另一方的质询码生成响应码】的方式，但不是像BASIC认证中直接发送明文密码。因此，这种方式使得密码泄露的可能性降低。
DIGEST认证步骤：
nonce是一种每次随返回的401响应生成的任意随机字符串。该字符串推荐由Base64编码的十六进制数的组成形式，实际内容依赖服务器的具体实现。
DIGEST认证的安全等级较BASIC高，但是依旧比HTTPS的客户端认证较弱，且同样不那么便捷灵活，安全等级较低。DIGEST认证提供防止密码被窃听的保护机制，但并不存在防止用户伪装的保护机制。

SSL客户端认证

SSL客户端认证是借由HTTPS的客户端证书完成认证的方式，凭借SSL客户端证书认证服务器可确认访问是否来自已登录的客户端，而且可以认证是否为否为本人，防止第三者冒充。

SSL客户端认证的认证步骤

需要事先将客户端证书分发给客户端，且客户端必须安装此证书
接收到认证资源的请求，服务器发送Certificate Request报文，要求客户端提供客户端证书。
用户选择客户端证书后，客户端会把客户端证书发送给服务器。
服务器验证客户端证书后即可领取证书内客户端的公开密钥，然后开始HTTPS加密通信。

SSL客户端认证采用双因素验证

SSL不仅依靠证书完成认证，还会与基于表单验证组合形成一种双因素验证来使用。
认证过程不仅需要密码，还需要申请认证者提供其他持有信息来确定是用户本人的行为。

基于表单验证

认证多半为基于表单验证

HTTP协议标准提供的BASIC和DIGEST认证几乎不怎么使用，SSL客户端认证虽然安全等级较高，但因为导入以及维持费用等问题，普及度较低。

Session管理及Cookie应用

cookie指某些网站为了辨别用户身份，进行session跟踪而存储在用户本地终端上的数据，而这些数据通常会进行加密处理

一般使用cookie来管理Session
基于表单验证本身是通过服务器端的web应用，将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证。
1. 客户端以POST方法把用户名和密码发送给服务器，使用HTTPS通信来进行HTML表单画面的显示和用户输入数据的发送。
2. 服务器发送用于识别用户的Session ID，通过验证从客户端发过来的登录信息进行身份认证，然后把用户的认证状态与Session ID绑定后记录在服务器端。因此，若Session ID被盗，则对方就可以伪装成你的身份进行操作。所以，Session ID使用难以揣测的字符串，且服务器端进行有效期的管理来保证其安全性。为减少被xss攻击造成损失，正如前一篇文章提到的，cookie内加上httponly属性。
3. 客户端收到Session ID后，将其作为cookie保存在本地。下次向服务器发送请求时，浏览器会自动发送cookie，Session ID随之发送到服务器上完成身份验证。
还有的安全的保存方法：先给密码加盐salt【由服务器随机生成的一个字符串，保证长度足够长】，再使用散列函数计算出散列值保存。

基于HTTP的功能追加协议

HTTP的2.0版本就是在SPDY和websocket的基础之上改善。

消除HTTP瓶颈的SPDY

HTTP的瓶颈

请求只能从客户端开始，客户端不能接收除响应以外的指令。
请求/响应首部未经压缩发送，导致信息较多有延迟。
每次发送相同的冗长的首部，浪费较多。
可任意选择数据压缩格式，非强制压缩发送。

在这里插入图片描述

Ajax通过JS的调用，从已加载完毕的web页面上发起请求，只更新局部页面，解决了第一个响应的问题。
comet延迟应答，保留响应直至服务器端的更新，但是更消耗资源，响应时间也变长了。
Ajax和Comet技术均提升了web的浏览速度

SPDY的设计与功能

在这里插入图片描述

为了安全性，SPDY规定通信过程中使用SSL。
SPDY以会话层加入，控制数据的流动，但依然采用HTTP建立通信连接，依然可以使用GET、POST、cookie等。
SPDY增加的额外功能：
1. 多路复用流：通过单一的TCP连接，可以无限处理多个HTTP请求，TCP处理效率提高。
2. 赋予请求优先级：在发送多个请求时，解决因带宽低而导致响应变慢的问题。
3. 压缩HTTP首部：通信产生的数据包流量和发送的字节数减少。
4. 推送功能：服务器主动直接发送数据，不必等待客户端的请求。
5. 服务器提示功能：主动提示客户端请求所需的资源，避免发送不必要的请求。
SPDY并不是绝对可以消除瓶颈，也不是只有这一种技术可以解决HTTP瓶颈。

使用浏览器进行全双工通信的websocket

websocket的设计与功能

建立在HTTP基础上的协议，即web浏览器与服务器之间全双工通信标准。

websocket协议

一旦服务器与客户端之间建立起websocket协议的通信连接，之后所有的通信都依靠这个专用协议。
通信过程可互相发送JSON、XML、HTML或图片等任意格式的数据。
无论连接的发起方是谁，都可以向对方发送报文。
协议特点
1. 推送功能：服务器主动直接发送数据，不必等待客户端的请求。
2. 减少通信量：websocket的首部信息很小，通信量也减少了
3. 为了实现wesocket通信，在HTTP连接建立之后，需要完成一次握手步骤。
  一、握手、请求
  实现websocket通信，需要用到HTTP的Upgrade首部字段【用于检测HTTP协议及其他协议是否可使用更高的版本进行通信】，告知服务器通信协议发生改变，来到到握手目的。Sec-websocket-key字段内记录握手中的键值，Sec-websocket-Protocol字段内记录使用的子协议。
  二、握手、响应
  成功握手确立websocket连接之后，通信是不再使用HTTP的数据帧，而是采用websocket独立的数据帧·。

web服务器管理文件的webDAV

分布式文件系统，可对服务器上的内容直接文件复制、粘贴、创建、删除、文件创建者管理、文件编辑过程中禁止其他用户内容覆盖、对文件内容修改版本控制等功能。

webdav新增概念（扩展HTTP/1.1）

集合：统一管理多个资源的概念，以集合为单位进行各种操作。
资源：文件或集合称为资源。
属性：定义资源的属性，格式为“名称+值”。
锁：把文件设置为无法编辑状态，多人同时编辑防止在同一时间内进行内容写入。

webdav新增方法和状态码

propfind :获取属性
proppatch：修改属性
mkcol：创建集合
copy：复制资源及属性
move：移动资源
lock：资源加锁
unlock：资源解锁

102 processing：可正常处理请求，但目前是处理中请求
207 multi-status：存在多种状态
422 unprocessible entity：格式正确，内容有误
423 locked：资源被加锁
424 failed dependency：处理与某请求关联的请求失败，因此不再维持依赖关系
507 insufficient storage：保存空间不足

构建web内容的技术

web应用

通过web提供功能的web应用

web应用于动态内容之上。
在这里插入图片描述

与web服务器及程序协作的CGI

CGI指web服务器在接收到客户端发送过来的请求后转发给程序的一组机制。
使用CGI编写的程序叫CGI程序，通常用PHP、C等编程语言编写。

因Java而普及的Servlet

Servlet是一种能在服务器上创建动态内容的程序，用Java语言实现的一个接口。
在上面的CGI中，每次收到请求，程序都要启动一次，负载量较大；而Servlet运行在与web服务器相同的进程中。

数据发布的格式及语言

可扩展标记语言XML

XML是一种可按应用目标进行扩展的通用标记语言，旨在使互联网数据共享更加容易。
从XML文档中读取数据比HTML更简单，更容易对数据进行读取。
也可用在两个不同的应用之间的交换数据格式化。

发布更新信息的RSS/Atom

RSS和Atom都是发布新闻或博客日志等更新信息文档的格式的总称，两者都用到了XML。

JS衍生的轻量级易用JSON

JSON使一种以JS的对象表示法为基础的轻量级数据标记语言，能够处理的数据类型有false、null、true、对象、数组、数字、字符串这七种类型。
JSON的字符串形式可以被JS轻松读入。

web的攻击技术

针对web的攻击技术

简单的HTTP协议本身不会成为攻击对象，而应用HTTP协议的服务端和客户端以及运行在服务器上的web应用等资源才是攻击目标。在这里插入图片描述

HTTP不具备必要的安全功能

现在的大多数web网站所应用的session、加密处理等安全性方面的，HTTP协议均无这些功能。
例如远程登录使用的SSH协议，SSH具备协议级别的认证以及会话管理，而HTTP协议没有。在架设SSH服务方面，任何人都可轻易创建安全等级高的服务，而HTTP已架设好服务器，很多服务需要重新开发。

在客户端即可纂改请求

即web应用可能会接收到与预期不相同的内容。

在这里插入图片描述

针对web应用的攻击模式

以服务器为目标的主动攻击

主动攻击通过直接访问web应用，把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击，因此攻击者需要能够访问到资源。
具有代表性的主动攻击：SQL注入攻击和OS命令注入攻击。

在这里插入图片描述

以服务器为目标的被动攻击

被动攻击模式中具有代表性的是XSS攻击和CSRF。
利用用户身份攻击企业内部网络。

因输出值转义不完全引发的安全漏洞

实施web应用的安全对策：
一、客户端的验证
二、服务器端（web应用端）的验证

输入值验证
输出值转义
多数情况下使用JS在客户端验证数据，可是客户端允许纂改数据或者关闭JS，因此不适合作为安全防范。保留客户端验证只是为了尽早辨识输入错误，提高UI体验。
输入值验证通常是指检查是否符合系统内部逻辑的数值或者检查字符编码等预防对策。
输出值转义主要是处理从数据库或文件系统、HTML、右键等输出web应用处理的数据。
输出值转义不完全可能会触发攻击者传入的攻击代码。

XSS攻击

指通过存在安全漏洞的web网站注册用户的浏览器内允许非法的HTML标签或JS进行的一种攻击，是攻击者利用预先设置的陷阱触发的被动攻击。

xss的影响：

利用虚拟输入表单骗取个人信息。
利用脚本窃取用户的cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。
显示伪造的文章或图片。

攻击案例：

一、在这里插入图片描述 <s>被解析成HTML标签
若将标签改为<script>则可能会被XSS攻击。

二、
在这里插入图片描述
这个恶意的URL被隐藏植入

当用户在表单输入ID和密码之后，表面没有变化，但脚本在后台运行，将ID和密码直接发送到攻击者的网站（hacker.jp），导致个人信息被窃取。
三、对用户cookie的窃取攻击 在这里插入图片描述
该脚本指定的http://hacker.jp/xss.js

这段JS代码被执行后，即可访问到该web应用所处域名下的cookie信息，发送到攻击者的web网站http://hacker.jp/

SQL注入攻击

SQL攻击指针对web应用使用的数据库，通过运行非法的SQL语句而产生的攻击，危害较大。
SQL是用来操作关系型数据库管理系统的数据库语言，如MySQL、Server、Oracle等

SQL注入攻击的影响

非法查看或纂改数据库内的数据
规避认证
执行和数据库服务器业务关联的程序等

OS命令注入攻击

是指通过web应用执行非法的操作系统命令达到攻击的目的，只要能调用shell函数的地方就存在被攻击的风险。

在web应用中通过调用shell函数来调用对操作系统的命令。若调用时存在疏漏，则可以执行非法的OS命令注入攻击。

OS注入攻击案例

在这里插入图片描述

核心代码：open函数会调用sendmail命令发送邮件，而指定的邮件发送地址为$adr。

攻击者将上面的值指定作为邮件地址。
攻击者的输入值中的分号，在os命令中，会被解析为分割多个执行命令的标记。最终，含有linux账户信息/etc/passwd的文件，以邮件形式发送给了hack@example.jp

HTTP首部注入攻击

指攻击者通过在响应首部字段内插入换行，添加任意响应首部或主体的一种攻击，属于被动攻击模式。

HTTP注入攻击危害

设置任何cookie信息
重定向至任意URL
显示任意的主体（HTTP响应截断攻击）

HTTP注入攻击案例

Location：重定向跳转至任意URL

在这里插入图片描述
将location中的内容换成上面的值，%0D和%0A代表HTTP报文中的换行符，强制将攻击者网站的会话ID设置为SID=123456789的set-cookie首部字段。
因此攻击者可指定修改任意位置的cookie信息。

HTTP响应截断攻击

是用在HTTP首部注入的一种攻击，将两个%0D%0A并排插入字符串后发送，利用两个连续的换行可作出HTTP首部与主体风格所需的空行，这样就能显示伪造的主体。在这里插入图片描述

利用这种攻击，可达到与XSS攻击相同的效果。

邮件首部注入攻击

指web应用中的邮件发送功能，攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。利用存在安全漏洞的web网站，可对任意邮件地址发送广告邮件或病毒邮件。

攻击案例

在这里插入图片描述
使用换行符之后，实现对Bcc邮件地址的追加发送。

连续两次换行符，可能纂改邮件文本内容并发送。

目录遍历攻击

是指对本无意公开的文件目录，通过非法截断其目录路径之后，达到一种访问目的的攻击，这种攻击又叫路径遍历攻击。

攻击案例（读取文件功能）

在这里插入图片描述

远程文件包含漏洞

指当前部分脚本内容需要从其他文件读入时，攻击者利用指定外部服务器的URL充当依赖文件，让脚本读取之后，就可运行任意脚本的一种攻击。

攻击案例

在这里插入图片描述
以上攻击案例执行了可显示web服务器上文件以及目录信息的ls命令。

因设置或设计上的缺陷引发的安全漏洞

强制浏览

是指安置在web服务器的公开目录下的文件中，浏览那些原本非自愿公开的文件。

强制浏览的影响

泄露顾客的个人信息等重要情报
泄露原本需要具有访问权限的用户才可查阅的信息内容
泄露未连接到外界的文件

文件目录一览：http://www.example.com/log/ ，通过指定文件目录名称，即可在文件一览中看到显示的文件名。
容易被推测的文件名及目录名：http://www.example.com/entry/entry_081202.log ,文件名称较容易推测，能推出下一个文件是entry_081202.log。
备份文件：http://www.example.com/cgi-bin/entry.cgi(原始文件)
http://www.example.com/cgi-bin/entry.cgi~（备份文件）
http://www.example.com/cgi-bin/entry.bak(备份文件)
由编辑软件自动生成的备份文件无执行权限，有可能直接以源代码形式显示。
经认证才可显示的文件：直接通过URL访问原本必须经过认证才能在web页面上使用的文件（HTML文件、图片、PDF文档、CSS以及其他数据等）。