Web安全测试(二):HTTP状态码、响应和url详解

最新推荐文章于 2024-06-19 20:59:53 发布
最新推荐文章于 2024-06-19 20:59:53 发布
阅读量1k 收藏 8
点赞数 12
分类专栏: 全栈安全测试(0基础) 文章标签: web安全 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ml202187/article/details/132445257
版权

一、前言

结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!
全部文章请访问专栏:《全栈安全测试教程(0基础)》

文章目录

二、HTTP状态码

HTTP状态码的作用是:Web服务器用来告诉客户端,发生了什么事。
HTTP状态码被分为五大类, 目前我们使用的HTTP协议版本是1.1, 支持以下的状态码。

在这里插入图片描述

1)常见状态码

200 OK 服务器成功处理了请求(这个是我们见到最多的)

301/302 Moved Permanently(重定向)请求的URL已移走。Response中应该包含一个Location URL, 说明资源现在所处的位置

304 Not Modified(未修改)客户的缓存资源是最新的, 要客户端使用缓存

404 Not Found 未找到资源

501 Internal Server Error服务器遇到一个错误,使其无法对请求提供服务

2)状态码的含义

状态码为1xx

在这里插入图片描述
状态码为2xx

在这里插入图片描述
状态码为3xx

在这里插入图片描述状态码为4xx

在这里插入图片描述
状态码为5xx

在这里插入图片描述

三、HTTP响应头

1)常用标准响应头字段

Access:服务器支持哪些请求方法(如GET、POST等)。
Content-Encoding:文档的编码(Encode)方法。
Content-Length:表示内容长度。
Content-Type:表示后面的文档属于什么MIME类型。
Date:当前的GMT时间。
Expires:应该在什么时候认为文档已经过期,从而不再缓存它
Last-Modified:文档的最后改动时间。
Location:表示客户应当到哪里去提取文档。
Refresh:表示浏览器应该在多少时间之后刷新文档,以秒计。
Server:服务器名字。
Set-Cookie:设置和页面关联的Cookie。
WWW-Authenticate:标识访问请求实体的身份验证方案

响应头示例

HTTP/1.1 302 Found
Date: Sun, 20 Aug 2017 13:38:54 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.4.16
Location: https://www.aqzhi.com/
Content-Length: 206
Connection: close
Content-Type: text/html; charset=iso-8859-1

四、HTTP中的URL

1)什么是URL

URL是统一资源定位符,是互联网上标准资源的地址
URL包含

  1. 协议
  2. 用户名:密码
  3. 主机 - 子域名.域名.顶级域名(或IP)
  4. 端口号
  5. 目录/文件名.文件后缀
  6. 参数=值
  7. 标志

格式:
协议://用户名:密码@子域名.域名.顶级域名:端口号/目录/文件名.文件后缀?参数=值#标志

相对URL:
/目录/文件名.文件后缀?参数=值#标志

2)URL编码格式

只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*‘(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于URL。
编码格式为16进制,每两个16进制前加百分号(%)
例:“你好”的utf-8码为: \xe4\xbd\xa0\xe5\xa5\xbd
“你好”的URL – utf-8格式编码为: %E4%BD%A0%E5%A5%BD

3)URL同源策略

URL格式中,协议,主机,端口三部分相同,才能算是同源。
浏览器设置里,默认情况下只有同源的内容才能相互操作。

  1. 打开site1.com
  2. 创建iframe,打开site2.com
  3. site1.com的js访问site2.com的内容
  4. 这个时候会报错,不是同源不能进行相关操作。
桃酥zz
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
02、HTTP基本原理之URL、请求和响应
weixin_44749822的博客
04-17 2277
文章目录前言一、URI和URL、请求(Request)1、请求方法(Request Method)*a、常见的请求方法:GET和 POST**b、GET和 POST请求方法有如下区别:**c、请求方法和描述*2、请求的网址(Request URL)3、请求头(Request Header)4、请求体(Request Body)5、Content-Type和POST提交数据方式的关系三、响应(Response)1、响应状态码(Response Status Code)2、响应头(Response Head.
HTTP状态码响应
hibugs
05-17 9838
了解HTTP状态码是你步入网络安全必不可少的一步
【计算机网络】4. 网络基础2之详解HTTPhttp请求与响应、请求方法、URL状态码、请求和响应的头部字段)
瞌睡的博客
01-09 1420
目录1. http请求与响应 1.1 http请求格式:请求首行,请求体,空行,请求正文 1.2 http响应格式:响应首行,响应体,空行,响应正文 2. 请求方法 3. http协议概述 4. http对应的URL解释 5. http协议的数据流 6. http协议的版本 7. http状态码 8. 请求和响应的头部字段 9. http连接代
Http请求和Http响应详细解析
热门推荐
蓝色骨头的博客
05-31 4万+
http://www.cnblogs.com/linjiqin/p/3560152.html(转载) 一次完整的HTTP请求所经历的7个步骤 HTTP通信机制是在一次完整的HTTP通信过程中,Web浏览器与Web服务器之间将完成下列7个步骤: 1. 建立TCP连接 在HTTP工作开始之前,Web浏览器首先要通过网络与Web服务器建立连接,该连接是通过TCP来完成的,该协议与IP协议
HTTP 响应的格式及状态码
简言
02-13 1万+
HTTP响应 服务器收到了客户端发来的HTTP请求后,根据HTTP请求中的动作要求,服务端做出具体的动作,将结果回应给客户端,称为HTTP响应响应数据格式 HTTP响应由三部分组成:状态行、响应头、响应正文; 状态行:包括协议版本Version、状态码Status Code、回应短语; 响应头(server header):包括搭建服务器的软件,发送响应的时间,回应数据的格式等信息,...
web系统测试http协议详解.docx
04-18
- 状态行:包含HTTP版本、状态码状态消息。状态码是三位数字,如200表示成功,404表示未找到资源,500表示服务器内部错误。 - 响应头部:与请求头部类似,包含服务器提供的响应信息,如服务器类型、内容长度、...
HTTP协议详解以及URL具体访问过程.docx
02-11
响应行包括状态码和原因短语,响应头包括各种首部字段,响应主体则是响应的正文内容。 HTTP 请求的详细过程包括输入地址、浏览器查找域名的 IP、浏览器携带 IP 地址向 Web 服务器发起 HTTP 请求、服务器的永久...
02HTTP请求头响应详解1
08-04
HTTP(Hypertext Transfer Protocol)是互联网上应用最为广泛的一种网络协议,用于定义客户端和服务器...在实际开发中,开发者需要根据业务需求选择合适的HTTP方法,并充分利用请求头和响应头来优化通信效率和安全性。
070202web压力测试1
08-08
6. **HTTP响应**:统计不同HTTP状态码的数量,如代200代表成功请求。 通过分析这些数据,我们可以评估Web服务器在特定压力下的性能表现,如响应速度、吞吐量和稳定性。如果发现性能不佳,可能需要调整服务器...
如何利用nginx通过正则拦截指定url请求详解
09-29
http`开头的请求参数,返回404状态码,从而阻止这些请求被处理。 ### 防盗链配置 Nginx的防盗链功能可以防止资源被其他网站引用。以下是一个配置示例,禁止非指定域名引用站点上的图片、视频等资源: ```nginx ...
http响应状态码大全(转)
zcy0xy的博客
11-28 2052
http状态返回代 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态http状态返回代:  代   说明 100   (继续) 请求者应当继续提出请求。 服务器返回此代表示已收到请求的第一部分,正在等待其余部分。  101   (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。 http状态返回代 2xx (成功) 表示成功
url详解,常用请求方法,请求头常见参数,常见响应状态码
weixin_44737646的博客
12-05 4689
URL的组成和说明 URL是uniform Resource locator的简写,中文意思是统一资源定位符 scheme: 代表的是访问的协议, 一般为http或者https以及ftp等 host:主机名,域名,比如:www.baidu.com port:端口号,当你访问一个网站时,浏览器默认使用80端口 path:查找路径,比如:https://mp.csdn.net/mdeditor/1...
HTTP状态码HTTP Status Code),常见的error 404, error 504等的意思
weixin_30578677的博客
05-09 3893
一些常见的状态码为: 200 - 服务器成功返回网页 404 - 请求的网页不存在 503 - 服务不可用 详细分解: 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态。 代 说明 100 (继续) 请求者应当继续提出请求。 服务器返回此代表示已收到请求的第一部分,正在等待其余部分。 101 (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。 2xx...
Pentest Muse:一款专为网络安全人员设计的AI助手
FreeBuf_的博客
06-19 1382
在代理模式下,Pentest Muse能够帮助我们完成一系列简单的任务,例如“帮我们在url为xxx的目标上执行SQL注入测试”。上注册后,我们就可以使用Pentest Muse来管理API了,创建一个账号,打开Pentest Muse的命令行接口,程序将会提示我们进行登录。在聊天模式中,我们可以直接与Pentest Muse聊天,并请它帮我们头脑风暴、编写Payload或对代进行安全分析。简而言之,我们只需要把想做的事情告诉Pentest Muse,它就能够帮助我们完成想要的安全测试与评估任务。
网络安全和信息安全
waitaikong_的博客
06-12 1221
信息安全、网络安全与网络空间安全是当前信息技术领域内的三个重要概念,它们在某些方面有着紧密的联系,同时在不同的语境和应用场景下又有所区别。本次分析旨在深入理解这三个概念的定义、内涵及其相互关系,以便更好地应用于实际工作中。综上所述,信息安全、网络安全和网络空间安全是三个密切相关但又各具特色的概念。信息安全关注的是信息本身的保护,网络安全侧重于网络环境和设施的安全,而网络空间安全则是一个更全面的框架,它不仅包括了信息安全和网络安全的内容,还延伸到了更广泛的社会和法律层面。
网络安全筑基篇——CSRF、SSRF
最新发布
weixin_55762309的博客
06-19 1329
CSRF(即跨站请求伪造)是指利用受害者尚未失效的身份认证信息、(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代的页面,在受害人不知情的情况下以受害人的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(转账,改密等)。
Python网络安全项目开发实战,怎么扫描漏洞
一个好知识的传播者
06-19 1467
Python在网络安全项目开发实战中发挥着重要的作用。通过Python编写的漏洞扫描器可以自动化地收集目标信息、进行端口扫描和漏洞检测,并生成详细的扫描报告。然而,网络安全是一个复杂的领域,仅仅依靠Python编写的扫描器是远远不够的。未来,我们可以结合机器学习、大数据等技术来进一步提高漏洞扫描的准确性和效率。同时,也需要不断学习和研究新的漏洞利用方式和防范措施,以应对日益复杂的网络安全威胁。Python网络安全项目开发实战_扫描漏洞_编程案例解析实例详解课程教程.pdf。
网络安全(补充)
m0_62207482的博客
06-13 814
针对网络信息系统的容灾恢复问题,国家制定和颁布了《信息安全技术信息系统灾难恢复规范(GB/T 20988-2007)》,该规范定义了六个灾难恢复等级和技术要求:第一级基本支持(要求至少每周做一次完全数据备份,并且备份介质场外存放)、第级备用场地支持(第级在第一级的基础上,还要求配备灾难发生后能正在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备)、第三级电子传输和部分设备支持、第四级电子传输及完整设备支持、第五级实时数据传输及完整设备支持、第六级数据领丢失和远程集群支持 网络安全取证:1(
HTTP协议详解HTTP特点、URLHTTP请求详细、HTTP响应详细。
06-08
4. 可扩展:HTTP协议是一种可扩展的协议,可以通过添加新的方法、头部或状态码来扩展。 URLURL(Uniform Resource Locator)是一种用于定位Web上资源的地址。它由协议、主机名、端口号、路径和查询组成。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

桃酥zz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值