《图解HTTP》笔记(三)构建Web、Web安全、HTTP追加协议

最新推荐文章于 2023-03-27 20:33:24 发布
最新推荐文章于 2023-03-27 20:33:24 发布
阅读量1.8k 收藏 3
点赞数 4
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41895747/article/details/104296991
版权

这部分内容作者写的比较浅,科普文

目录

CSS

动态HTML

CGI(Comment Gateway Interface)通用网关接口

Servlet

XML

RSS

针对Web应用的攻击模式

Web应用的安全策略

跨站脚本攻击(XSS)

HTTP首部注入攻击/HTTP响应截断攻击

目录遍历攻击

远程文件包含漏洞

因设置或者设计上的缺陷引发的安全漏洞

因会话框管理疏忽引发的安全漏洞

密码破解

从已加密过的数据导出明文

Dos攻击

后门程序

HTTP主要瓶颈

消除HTTP瓶颈的SPDY

使用浏览器进行全双工通信的WebSocket

HTTP2.0:SPDY的升级版

CSS

层叠样式表,指定如何展示HTML内的各种元素,属于样式表标准之一。

动态HTML

调用客户端脚本语言JS,实现对Web的动态改造;利用DOM(文档对象模型)课指定要发生动态变化的HTML元素。

CGI(Comment Gateway Interface)通用网关接口

Web服务器在接收到客户端发送来的请求后转发给程序的一组机制

Servlet

改进的CGI;

因Java而普及;

解决CGI的问题的对抗技术

XML

可拓展标记语言;

与HTML相比,对数据记录方式方面做了特殊处理;

RSS

简易信息集合;

发布新闻或者博客日志信息等更新信息文档的格式总称;

比如CSDN博客上也有:

针对Web应用的攻击模式

  • 主动攻击
    攻击者直接访问Web应用,把攻击代码传入攻击模式;
    SQL注入攻击;
    OS命令攻击;
  • 被动攻击
    利用圈套策略执行攻击代码的攻击模式;

Web应用的安全策略

  • 客户端验证

  • Web应用(服务器端)验证
    输入值验证;
    输出值转义;

跨站脚本攻击(XSS)

  • 在动态生成的HTML处发生

  • 对用户的Cookie窃取和攻击

HTTP首部注入攻击/HTTP响应截断攻击

攻击者在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击;

  • 设置任何Cookie信息
  • 重定向至任意URL
  • 显示任意的主体

目录遍历攻击

对本无意公开的文件目录,通过非法阶段其目录路径后,达成访问目的的一种攻击;

远程文件包含漏洞

当部分脚本内容需要通过其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,当脚本读入后,就可以运行任意脚本的一种攻击;

因设置或者设计上的缺陷引发的安全漏洞

  • 强制浏览
    浏览非自愿公开的文件
  • 不正确的错误消息处理
    Web应用抛出的错误消息;
    数据库等系统抛出的错误消息
  • 开放重定向

因会话框管理疏忽引发的安全漏洞

  • 会话框劫持
  • 会话框固定攻击
  • 站点请求伪造

密码破解

  • 穷举法
  • 字典攻击
    事先收集好候选密码

从已加密过的数据导出明文

  • 通过穷举法/字典攻击法
  • 彩虹表
    由明文密码以及对应的散列值构成的一张数据库表,通过事先制造庞大的彩虹表;
  • 拿到密钥
  • 加密算法的漏洞

Dos攻击

让运行中的服务器呈现停止状态

  • 利用访问请求造成资源过载;
  • 通过攻击安全漏洞使服务器停止

后门程序

  • 开发阶段作为Debug调用的后门程序
  • 开发者为了自身利益植入的后门程序
  • 攻击者通过某种方法设置的后门程序

HTTP主要瓶颈

  • 一条连接上只能发送一个请求
  • 请求只能从客户端开始,客户端不能接受消除响应以外的指令;
  • 请求/响应未经压缩就发送,首部信息越多延迟越大;
  • 发送冗长的首部,浪费多;
  • 可以任意选择数据压缩格式,非强制压缩发送;

消除HTTP瓶颈的SPDY

  • 缩短Web页面加载时间(50%);
  • 从协议级别消除HTTP所遇到的瓶颈;
  • 在TCP/IP的应用层与运输层之间通过新家会话层的形式运作;
  • 规定通信中使用SSL;
  • 多路复用流,通过单一的TCP连接可以无限制处理多个HTTP请求,所有请求的处理都在一条TCP连接上完成,提高效率;
  • 赋予请求优先级;
  • 压缩HTTP首部;
  • 推送功能,支持服务器主动向客户端推送数据的功能;
  • 服务器提示功能,服务器主动提示请求所需的资源;

使用浏览器进行全双工通信的WebSocket

  • 推送功能,支持服务器向客户端推送数据的功能;
  • 减少通信量,只要建立起WebSocket连接,就希望一直保持连接状态

HTTP2.0:SPDY的升级版

  • 新的二进制格式(Binary Format),HTTP1.x的解析是基于文本。基于文本协议的格式解析存在天然缺陷,文本的表现形式有多样性,要做到健壮性考虑的场景必然很多,二进制则不同,只认0和1的组合。基于这种考虑HTTP2.0的协议解析决定采用二进制格式,实现方便且健壮。

  • 多路复用(MultiPlexing),即连接共享,即每一个request都是是用作连接共享机制的。一个request对应一个id,这样一个连接上可以有多个request,每个连接的request可以随机的混杂在一起,接收方可以根据request的 id将request再归属到各自不同的服务端请求里面。

  • header压缩,如上文中所言,对前面提到过HTTP1.x的header带有大量信息,而且每次都要重复发送,HTTP2.0使用encoder来减少需要传输的header大小,通讯双方各自cache一份header fields表,既避免了重复header的传输,又减小了需要传输的大小。

  • 服务端推送(server push),同SPDY一样,HTTP2.0也具有server push功能。

 

 

 

沉迷单车的追风少年
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决 [Errno 2] No such file or directory: ‘c:\\users\\user\\appdata\\roaming\\python\\python37\……等问题
沉迷单车的追风少年
01-05 2万+
问题汇总: Could not install packages due to an EnvironmentError: [Errno 2] No such file or directory: 'c:\\users\\user\\appdata\\roaming\\python\\python37\\site-packages\\pip-19.0.1.dist-info\\METADATA' Could not install packages due to an EnvironmentError:
Java代码审计中常见的漏洞(一)
武天旭的博客
12-09 4725
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 数据库访问控制 2 HTTP响应截断 3 SQL注入 4 命令注入 5 LDAP注入 6 XML注入 7 XPath注入
CRLF注入(HTTP响应拆分-截断)
m0_51468027的博客
03-27 3138
2023年HW厂商斗象面试题——CRLF注入
.NET和ASP.NET的区别是什么
冯瑞姣
01-12 5107
【内容】 1..NET和ASP.NET分别是什么? .NET是微软的一个开发平台,其主要核心就是.NET Framwork,这个平台的一大特点就是跨语言性,不管是什么语言,c、c++、c#、F#、J#、vb等语言都可以用这个平台合作开发; ASP.NET是一个网站开发的技术,是.NET里面的一个模型,也是目前的一种主流开发网站的技术; 2..NET和ASP.NET区别是什么? (1)AS...
Web安全-HTTP响应拆分(CRLF注入)漏洞
道阻且长,行则将至。
05-01 4308
文章目录漏洞简介漏洞利用会话固定XSS攻击实战案例挖掘技巧漏洞防御 漏洞简介 CRLF 是 CR 和 LF 两个字符的拼接,它们分别代表 “回车+换行”(\r\n),全称为 “Carriage Return/Line Feed”,十六进制编码分别为0x0d 和 0x0a,URL编码为 %0D 和 %0A 。CR 和 LF 组合在一起即 CRLF 命令,它表示键盘上的 “Enter” 键,许多应用程序和网络协议使用这些命令作为分隔符。 在 HTTP 协议中,HTTP header 之间是由一个 CRLF 字符
HTTP协议相关漏洞
qq_48904485的博客
03-22 8188
一、HTTP协议 HTTP是一个基于请求与响应模式的、无状态的应用协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当中的各种信息不会被服务器所记录下来。 常基于TCP的连接方式 ,即http是将数据打包成TCP数据包来进行传送的,绝大多数Web应用,都是构建HTTP协议之上,即目前使用浏览器访问web网站都是以http协议为标准的。 1、HTTP协议的方法 GET :请求获取Request-URI所标识的资源 POST :
html笔记http协议图解
04-11
1-基础标签 2-表单元素 3-css引入 4-类选择器 5-文本样式 6-盒子种类 7-定位 8-伸缩盒
HTTPHTTP协作的Web服务器访问流程图解
09-30
记得以前刚接触网站的时候,很奇怪一台服务器上可以放很多个网站,不用的域名就可以访问不同的目录,今天看起来的理所当然以前真是不可思议,今天刚好看到了这篇文章就为大家分享一下
图解http_HTTP协议_
10-02
图解HTTP
关于ASP.NET和.NET的区别和联系
weixin_30757793的博客
03-21 622
对于一个新手,往往会被这些名字给搞蒙了,对不起(笨小孩我也被搞蒙过,见笑啦),这归根结底还是怪自己对知识掌握和了解的不够,废话不多,直接到主题。 ASP.NET和.NET的区别和联系 .NET 一般所说的.NET指的是.NET框架即为(.Net Framework),他是微软提供的开发平台框架,可以做以下事情 Windows 应用程序 Web 应用程序 Web 服务 .NET...
QT作的人事管理系统.zip
02-23
这是用QT作的人事管理系统,里面是源代码,发给各位朋友参考参考,保证物有所值。注意::这是在QT插入到Viual stdio 里才能运行出来的哟。
《TensorFlow深度学习》学习笔记
沉迷单车的追风少年
03-07 768
原文链接:https://github.com/dragen1860/Deep-Learning-with-TensorFlow-book 目录 基本概念 TensorFlow 2.x与TensorFlow 1.x 非线性模型与激活函数 TensorFlow 万物皆可张量 经典数据集加载 随机打散与批训练 模型预处理与循环训练 基本概念 epoch含义:把对数据集的所有样本训练一次称为一个 Epoch,共循环迭代num_iterations个Epoch。 人工智能、 机器学习、 神.
HTTP Response Splitting攻击探究
10-27 3975
学习WebGoat第一章General第一小节:HTTP Basics:使用Proxy软件(例如Webscarab)来截断浏览器(客户端)和Server之间的HTTP通信,之后任意篡改得到预期结果即可。第二小节:HTTP Splitting:(其实应该为HTTP Response Splitting)分为两步——1、HTTP Splitting;2、Cache PoisoningHTTP Response Splitting介绍:“HTTP Response Splitting” is a new appl
安全测试之一:HTTP响应头拆分/CRLF注入详解
楠人的博客-随风而过
06-11 3659
一:前言 “HTTP响应头拆分漏洞”是一种新型的web攻击方案,它重新产生了很多安全漏洞包括:web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击方案,包括其衍生的一系列技术产生,是由于web应用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些恶意字符,更具体来说,是对用户输入的CR 和LF字符没有进行严格的过滤。 “HTTP响应头拆分漏洞”及其相关的攻击手
高频数组合集——从LeetCode题海中总结常见套路
沉迷单车的追风少年
09-23 1187
之前总结过一篇数组水题合集:数组水题合集——LeetCode题海实战汇总,这里总结一下高频数组合集
图解HTTP》第10章构建Web内容的技术 读书笔记
WWW54111392的博客
04-25 201
  第十章:构建Web内容的技术 1.HTML(超文本标记语言):按一定语法格式写出的一个文本文档,经过浏览器解析渲染后呈现出各式各样的网页。 2.CSS(层叠样式表):指定如何展现HTML各种元素的技术。 3.动态HTML:使用客户端脚本语言(JavaScript),对HTML呈现的页面进行动态改造。 4.DOM(文档对象模型):DOM就是操作HTML和XML的API,使用DO...
Qt开发——爱情公寓人事管理系统
沉迷单车的追风少年
02-06 911
源码地址:https://github.com/XDUWQ/HRManagment 存在bug: 1.打开数据库时路径有问题,无法指定打开 2.数据库显示中文有问题 3.Gender过滤有bug? 如果有谁知道怎么改和我说一下…… 主要是Qt数据库实战,练一下手 界面设计布局的部分以前做过类似的https://blog.csdn.net/qq_41895747/...
图解HTTP学习笔记——确认访问用户身份的认证
最新发布
05-16
HTTP协议中,为了确认访问用户的身份,可以使用认证...总的来说,认证功能可以确保访问者的身份,提高HTTP协议安全性。但是,认证信息的传输仍然存在一定的风险,因此在使用认证功能时需要注意保护用户的信息安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

沉迷单车的追风少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值