Web安全测试(二):HTTP状态码、响应和url详解

最新推荐文章于 2024-06-17 17:11:39 发布
最新推荐文章于 2024-06-17 17:11:39 发布
阅读量1k 收藏 8
点赞数 12
分类专栏: 全栈安全测试(0基础) 文章标签: web安全 http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ml202187/article/details/132445257
版权

一、前言

结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!
全部文章请访问专栏:《全栈安全测试教程(0基础)》

文章目录

二、HTTP状态码

HTTP状态码的作用是:Web服务器用来告诉客户端,发生了什么事。
HTTP状态码被分为五大类, 目前我们使用的HTTP协议版本是1.1, 支持以下的状态码。

在这里插入图片描述

1)常见状态码

200 OK 服务器成功处理了请求(这个是我们见到最多的)

301/302 Moved Permanently(重定向)请求的URL已移走。Response中应该包含一个Location URL, 说明资源现在所处的位置

304 Not Modified(未修改)客户的缓存资源是最新的, 要客户端使用缓存

404 Not Found 未找到资源

501 Internal Server Error服务器遇到一个错误,使其无法对请求提供服务

2)状态码的含义

状态码为1xx

在这里插入图片描述
状态码为2xx

在这里插入图片描述
状态码为3xx

在这里插入图片描述状态码为4xx

在这里插入图片描述
状态码为5xx

在这里插入图片描述

三、HTTP响应头

1)常用标准响应头字段

Access:服务器支持哪些请求方法(如GET、POST等)。
Content-Encoding:文档的编码(Encode)方法。
Content-Length:表示内容长度。
Content-Type:表示后面的文档属于什么MIME类型。
Date:当前的GMT时间。
Expires:应该在什么时候认为文档已经过期,从而不再缓存它
Last-Modified:文档的最后改动时间。
Location:表示客户应当到哪里去提取文档。
Refresh:表示浏览器应该在多少时间之后刷新文档,以秒计。
Server:服务器名字。
Set-Cookie:设置和页面关联的Cookie。
WWW-Authenticate:标识访问请求实体的身份验证方案

响应头示例

HTTP/1.1 302 Found
Date: Sun, 20 Aug 2017 13:38:54 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.4.16
Location: https://www.aqzhi.com/
Content-Length: 206
Connection: close
Content-Type: text/html; charset=iso-8859-1

四、HTTP中的URL

1)什么是URL

URL是统一资源定位符,是互联网上标准资源的地址
URL包含

  1. 协议
  2. 用户名:密码
  3. 主机 - 子域名.域名.顶级域名(或IP)
  4. 端口号
  5. 目录/文件名.文件后缀
  6. 参数=值
  7. 标志

格式:
协议://用户名:密码@子域名.域名.顶级域名:端口号/目录/文件名.文件后缀?参数=值#标志

相对URL:
/目录/文件名.文件后缀?参数=值#标志

2)URL编码格式

只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*‘(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于URL。
编码格式为16进制,每两个16进制前加百分号(%)
例:“你好”的utf-8码为: \xe4\xbd\xa0\xe5\xa5\xbd
“你好”的URL – utf-8格式编码为: %E4%BD%A0%E5%A5%BD

3)URL同源策略

URL格式中,协议,主机,端口三部分相同,才能算是同源。
浏览器设置里,默认情况下只有同源的内容才能相互操作。

  1. 打开site1.com
  2. 创建iframe,打开site2.com
  3. site1.com的js访问site2.com的内容
  4. 这个时候会报错,不是同源不能进行相关操作。
桃酥zz
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
02、HTTP基本原理之URL、请求和响应
weixin_44749822的博客
04-17 2271
文章目录前言一、URI和URL、请求(Request)1、请求方法(Request Method)*a、常见的请求方法:GET和 POST**b、GET和 POST请求方法有如下区别:**c、请求方法和描述*2、请求的网址(Request URL)3、请求头(Request Header)4、请求体(Request Body)5、Content-Type和POST提交数据方式的关系三、响应(Response)1、响应状态码(Response Status Code)2、响应头(Response Head.
HTTP状态码响应
hibugs
05-17 9828
了解HTTP状态码是你步入网络安全必不可少的一步
【计算机网络】4. 网络基础2之详解HTTPhttp请求与响应、请求方法、URL状态码、请求和响应的头部字段)
瞌睡的博客
01-09 1419
目录1. http请求与响应 1.1 http请求格式:请求首行,请求体,空行,请求正文 1.2 http响应格式:响应首行,响应体,空行,响应正文 2. 请求方法 3. http协议概述 4. http对应的URL解释 5. http协议的数据流 6. http协议的版本 7. http状态码 8. 请求和响应的头部字段 9. http连接代
Http请求和Http响应详细解析
热门推荐
蓝色骨头的博客
05-31 4万+
http://www.cnblogs.com/linjiqin/p/3560152.html(转载) 一次完整的HTTP请求所经历的7个步骤 HTTP通信机制是在一次完整的HTTP通信过程中,Web浏览器与Web服务器之间将完成下列7个步骤: 1. 建立TCP连接 在HTTP工作开始之前,Web浏览器首先要通过网络与Web服务器建立连接,该连接是通过TCP来完成的,该协议与IP协议
HTTP 响应的格式及状态码
简言
02-13 1万+
HTTP响应 服务器收到了客户端发来的HTTP请求后,根据HTTP请求中的动作要求,服务端做出具体的动作,将结果回应给客户端,称为HTTP响应响应数据格式 HTTP响应由三部分组成:状态行、响应头、响应正文; 状态行:包括协议版本Version、状态码Status Code、回应短语; 响应头(server header):包括搭建服务器的软件,发送响应的时间,回应数据的格式等信息,...
web系统测试http协议详解.docx
04-18
- 状态行:包含HTTP版本、状态码状态消息。状态码是三位数字,如200表示成功,404表示未找到资源,500表示服务器内部错误。 - 响应头部:与请求头部类似,包含服务器提供的响应信息,如服务器类型、内容长度、...
HTTP协议详解以及URL具体访问过程.docx
02-11
响应行包括状态码和原因短语,响应头包括各种首部字段,响应主体则是响应的正文内容。 HTTP 请求的详细过程包括输入地址、浏览器查找域名的 IP、浏览器携带 IP 地址向 Web 服务器发起 HTTP 请求、服务器的永久...
02HTTP请求头响应详解1
08-04
HTTP(Hypertext Transfer Protocol)是互联网上应用最为广泛的一种网络协议,用于定义客户端和服务器...在实际开发中,开发者需要根据业务需求选择合适的HTTP方法,并充分利用请求头和响应头来优化通信效率和安全性。
070202web压力测试1
08-08
6. **HTTP响应**:统计不同HTTP状态码的数量,如代200代表成功请求。 通过分析这些数据,我们可以评估Web服务器在特定压力下的性能表现,如响应速度、吞吐量和稳定性。如果发现性能不佳,可能需要调整服务器...
如何利用nginx通过正则拦截指定url请求详解
09-29
http`开头的请求参数,返回404状态码,从而阻止这些请求被处理。 ### 防盗链配置 Nginx的防盗链功能可以防止资源被其他网站引用。以下是一个配置示例,禁止非指定域名引用站点上的图片、视频等资源: ```nginx ...
http响应状态码大全(转)
zcy0xy的博客
11-28 2047
http状态返回代 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态http状态返回代:  代   说明 100   (继续) 请求者应当继续提出请求。 服务器返回此代表示已收到请求的第一部分,正在等待其余部分。  101   (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。 http状态返回代 2xx (成功) 表示成功
url详解,常用请求方法,请求头常见参数,常见响应状态码
weixin_44737646的博客
12-05 4682
URL的组成和说明 URL是uniform Resource locator的简写,中文意思是统一资源定位符 scheme: 代表的是访问的协议, 一般为http或者https以及ftp等 host:主机名,域名,比如:www.baidu.com port:端口号,当你访问一个网站时,浏览器默认使用80端口 path:查找路径,比如:https://mp.csdn.net/mdeditor/1...
HTTP状态码HTTP Status Code),常见的error 404, error 504等的意思
weixin_30578677的博客
05-09 3884
一些常见的状态码为: 200 - 服务器成功返回网页 404 - 请求的网页不存在 503 - 服务不可用 详细分解: 1xx(临时响应) 表示临时响应并需要请求者继续执行操作的状态。 代 说明 100 (继续) 请求者应当继续提出请求。 服务器返回此代表示已收到请求的第一部分,正在等待其余部分。 101 (切换协议) 请求者已要求服务器切换协议,服务器已确认并准备切换。 2xx...
【网络安全】网络安全威胁及途径
衍生星球的博客
06-17 142
目前,网络的主要应用包括:电子商务、网上银行、股票、证券、期货交易、即时通信、邮件、网游、下载文件或点击链接等,这些应用都存在大量的安全威胁和隐患。网络安全管理中出现的漏洞和疏忽都属于人为因素,网络安全中最突出的问题是缺乏完善的法律法规、管理准则规范和制度、网络安全组织机构及人员,不够重视或缺少安全检测及实时有效的监控、维护和审计。网络安全的威胁和风险主要涉及网络系统研发、结构、层次、范畴、应用和管理等,要做好网络安全防范,必须进行认真深入的调研、分析和研究,以解决网络系统的安全风险及隐患。
网络安全攻防演练:提升应急响应能力
weixin_64392888的博客
06-14 725
随着网络威胁的不断演变,组织需要持续投入资源和精力,通过攻防演练等手段,构建更加安全和健壮的网络环境。在网络攻击日益频繁和复杂的今天,网络安全攻防演练成为提升组织应急响应能力的重要手段。在一次模拟钓鱼攻击的演练中,攻击团队通过发送带有恶意链接的电子邮件,成功绕过了部分员工的警惕。演练结束后,组织加强了员工的网络安全培训,并更新了钓鱼攻击的防御策略。网络安全攻防演练是一种主动的安全测试方法,它通过模拟攻击者的行为,评估组织的网络安全防护措施和应急响应流程的有效性。分析演练过程,评估攻击和防御的效果。
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 1084
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
网络安全筑基篇——SQL注入
最新发布
weixin_55762309的博客
06-17 1091
SQL(Structured Query Language,结构化查询语言)是一种用于管理关系型数据库系统的语言,它可以用于创建、修改和删除数据库中的表和记录,以及执行查询操作。简单易学:SQL语法相对简单,易于理解和学习。高效灵活:SQL可以执行快速和复杂的数据库操作,如插入、更新、删除和查询。标准化:SQL是一种标准化的语言,大多数关系型数据库系统都支持SQL。表达能力强:SQL支持各种复杂的查询和数据操作,可以根据需要进行数据的筛选、排序、合并等操作。
提升网络安全韧性:从基础防护开始
Dexun_chuqi的博客
06-13 668
网络安全韧性(Cyber Resilience)指的是在面对网络攻击或其他不利事件时,系统、网络和组织能够有效抵御、吸收和恢复正常功能的能力。这一概念不仅关注防止攻击的发生,还强调在攻击发生后,系统能够迅速恢复并继续运行。网络安全韧性包括预防、响应、恢复三个主要环节,旨在确保在面对各种潜在威胁时,网络能够保持其关键功能。提升网络安全韧性是一项系统性工程,涉及多个方面的综合管理和技术手段。
已拦截跨源请求:同源策略禁止读取位于 http://localhost:3000/register 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。状态码:500。
07-17
这个错误提示是由于浏览器的同源策略引起的。同源策略是一种安全机制,用于限制不同源(协议、域名、端口)之间的资源访问。在你的请求中,由于缺少 'Access-Control-Allow-Origin' 头,导致浏览器拒绝读取位于 http://localhost:3000/register 的远程资源。 要解决这个问题,你需要在服务器端的响应头中添加 'Access-Control-Allow-Origin' 字段,并设置其值为允许访问的源。例如,如果你希望允许所有源访问该资源,可以将其设置为 '*': ``` Access-Control-Allow-Origin: * ``` 如果你只想允许特定的源访问该资源,可以将其设置为该源的地址,例如: ``` Access-Control-Allow-Origin: http://example.com ``` 请注意,添加这个响应头后,浏览器才会允许跨域访问。如果你无法在服务器端修改响应头,你可以尝试使用代理服务器来解决跨域问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

桃酥zz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值