HTTP协议基础(渗透基础:状态码,cookie,session)

最新推荐文章于 2023-11-11 09:45:00 发布
最新推荐文章于 2023-11-11 09:45:00 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 渗透测试 文章标签: http协议 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33936481/article/details/51164081
版权
本文介绍了HTTP协议的基础知识,包括其明文特性与安全性问题,特别是状态码、cookie和session的工作原理。HTTP状态码分为五大类,如200表示成功,401表示需要身份验证,403表示拒绝访问。cookie和session是保持客户端与服务器状态的方法,cookie存储在客户端,session在服务器端。session通过cookie中的session ID来跟踪用户状态,而session ID可以通过URL重写、隐藏表单字段等方式传递。文章还探讨了HTTP头如Set-Cookie、Cookie、Referrer等的重要性和安全性问题。
摘要由CSDN通过智能技术生成

明文

 无内建的机密性安全机制

 嗅探或者代理截断可产看全部明文信息

 https只能提高传输层安全(但截断代理一样可以实现中间人攻击)


无状态(udp无状态)

每一次客服端和服务端的通信都是独立的过程

而以后的每次的身份验证都是通过cookie来实现的

session和sessinoid是不同的

session用于在用户身份验证后跟踪用户行为轨迹(提高了用户体验,但增加了攻击向量)

所谓session可以这样理解:当你与服务端进行会话时,比如说登陆成功后,服务端会为你开壁一块内存区间,用以存放你这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcat中对session id的叫法,在其它容器里面,不一定就是叫jsessionid了。),而这个内存区间你可以理解为session。
然后,服务器会将这个session id发回给你的浏览器,放入你的浏览器的cookies中(这个cookies是内存cookies,跟一般的不一样,它会随着浏览器的关闭而消失

最低0.47元/天 解锁文章
侠客岛的含笑
关注
专栏目录
〖Python接口自动化测试实战篇⑤〗- 接口自动化测试必备基础 - http协议
易编橙 · 终身成长社群,相遇已是上上签!
05-27 4万+
在上一章节我们聊到了 "如果想要做好接口测试,有一些基础知识是必备的",尤其是 "http协议" 的相关知识。所以在这一章节会针对 "http协议基础"、"http协议的请求方法" 、"http状态码" 来做一个知识普及。...
猿创征文|HCIE-Security Day62:web安全基础web协议详解,辨析cookiesession
小梁的博客
09-13 1820
第二步,将商品加入到购物车中时,你会调用/cart接口,但是注意,这个行为是和第一步是有关联关系的,是谁将什么物品加入到购物车中了?存在的问题:所以我们说涉及到交互时,情形就完全不一样了,因为这三步是有依赖关系的,第一步验证登录者是一个合法用户,验证通过给你返回200/OK,但是只要服务器给返回了响应,那么一个http的请求和响应就结束了。在点击一个纯的html网页,请求获取服务器的html文件资源时,每次http请求都会返回同样的信息,因为这个是没有交互的,每一次的请求都是相互独立的。
渗透
02-08
渗透
渗透测试基础http协议基础
m0_46304840的博客
02-12 1339
目录 前言 正文 http的工作流程(快速理解) 关于url的构成 HTTP请求包与返回包 请求包: 返回包: 常见的header: 前言 我又来了,更新速度有点快,莫得办法,贼无聊~~~ 想不出骚话了,略过~~~~ 正文 http的工作流程(快速理解) 什么是客户端? 客户端可以理解成用户 指浏览器 什么是服务端? 服务端可以理解成商店 ...
渗透测试 | WEB渗透 | 1-HTTP协议基础
太尉司马懿的博客
10-05 788
WEB技术发展 静态WEB 动态WEB 动态WEB 应用程序 数据库 每个人看到的都不一样 根据用户输入返回不同结果 WEB攻击面 Network OS WEB Server APP Server WEB Application Database Browser HTTP协议基础明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 HTTPS只是提高了传输层安全 无状态 每一次客户端和服务
接口+sessioncookie的区别+http状态码
bandu3199的博客
09-03 115
1.接口的定义:接口就是用来连接客户端和服务端,一般接口返回的数据都json。 2.接口测试也属于功能测试 3.要想做接口测试需要以下几点支持:  url  请求参数  请求方式  返回值 4.sessioncookie的区别:  session是存放在服务器的一个键值对  cookie是存放在本地的一个键值对 5.为什么要加sessioncookie?而不是直接把账号和...
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 2012
渗透测试之敏感信息收集
HTTP协议深度解析:从URL到响应报头
3. **灵活性**:HTTP协议允许传输不同类型的数据,通过Content-Type字段指定数据类型,如文本、图像、音频、视频等。 4. **无连接**:每个HTTP请求都是独立的,一次连接仅处理一个请求,处理完成后即断开,减少资源...
web安全详解(渗透测试基础
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是CookieCookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
网络安全渗透基础知识点)
最新发布
m0_61869253的博客
11-11 85
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
tomcat中JSESSIONID生成原理以及条件
热门推荐
zlbook的博客
03-01 2万+
序言: 写这个文章的目的,就是把平时学习的一些东西做个笔记,以防以后忘记和查找方便使用。感兴趣的同学可以通过本文对tomcat中的session机制进行了解。写的不好之处请见谅。 1、sessioncookie基础 由于http协议是无状态的协议,为了能够记住请求的状态,于是引入了SessionCookie的机制。我们应该有一个很明确的概念,那就是Session是存在于服务器端的,在单
ASCII字符集详解
jslfl的专栏
02-19 1393
http://www.crifan.com/files/doc/docbook/char_encoding/release/webhelp/content/ascii_ctrl_char.html 字符编码详解 2.1.2. ASCII编码规则 2.1.2.1. ASCII字符集中的功能/控制字符 2.1.2.1.1. 什么是Function Code功能码或 Fu...
HttpSessionJSESSIONID的"盗用"
小郎人的博客
07-18 6374
HttpSessionJSESSIONID的”盗用”        先说一下什么是HttpSessionHttp协议是一种无状态的协议,当我们从客户端发起一个浏览器请求的时候,服务器端如果说需要保留我们的登录信息的话,我们就需要通过某种方式解决这个登录问题。        在B/S模式中不可能每次访问服务器都把自己的登录信息传递到服务器端,如果说我们不考虑单点登录系统和cookie没有被禁用
Cookie 状态码 http
小飞鸟
06-07 804
cookie 是大多数web应用程序所依赖的HTTP协议的一次关键组成部分,攻击者常常通过它来利用web应用程序中的漏洞,服务器使用cookie机制向客户端发送数据,客户端保存cookie ,并将其返回给服务器,与其他类型的请求参数(存在于URL查询字符串或消息主体中)不同,随后的每一个请求都会继续重新向服务器提交cookie服务器使用set - cookie 响应消息头发布cookiecooki...
session失效,页面跳转到登陆界面的处理
w_iceh的博客
08-13 9588
每个系统页面操作过程中都有一个sessionsession可以存放少量的用户信息,供我们的页面操作使用。当session超时失效的时候我们就要重新往session中写入登陆的用户信息,而这个写入的操作一般写在在用户成功登陆系统的时候,所以当session失效时,我们页面中所有的操作都要监听,然后跳转到登陆的界面重新登陆。 1、设置session有效时间 在web.xml里面设置: <...
浅析http协议cookies和session机制、浏览器缓存
pi9nc的专栏
06-10 6212
浅析http协议cookies和session机制、浏览器缓存 分类: 基础知识2013-05-07 20:05 52人阅读 评论(0) 收藏 举报 原文地址:http://blogread.cn/it/article/6085?f=sa     最近几天在复习http协议中headers,cookies、session、缓存等相关知识,发现些新知识点。 这篇文章注重
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值