HTTP的请求报文
请求行包括三个部分:请求方法、请求地址、和版本及协议,以及CRLF(\R\N)结束
HTTP1.1定义八种的方法:GET POST PUT DELETE PATCH HEAD OPTIONS TRACE
其中最常见的是GET 和POST ,注意到的是如果是我诶RESful接口的话一般会用到前四种请求方法。
请求和响应常见的通用的header:
常见的请求header及其作用:
在以上的请求头属性中,需要注意的是cookie,http中的cookie代表的是将客户端的cookie信息传送给服务器,和客户端请求的session信息相关,需要注意的就是利用cookie进行cookie欺骗,导致资源劫持等。
其次还有referer,此请求代表的是从哪个URL过来的,在利用代理服务器作为跳板机时,可以通过抓包查看referer字段,可以找到攻击者的真实IP地址
常见的响应header及其作用:
HTTP响应状态码:
| 状态码 | 含义 |
|---|---|
| 1xx | 请求已收到,正在处理 |
| 2xx | 处理成功,已完成 |
| 3xx | 资源重定向,典型的就是搜索引擎 |
| 4xx | 客户端发送错误,例如客户端请求一个不存在的资源 |
| 5xx | 服务端发生错误,例如服务器宕机等 |
请求体的三种形式:
第一种就是一般移动开发者常见的 ,请求体是任意类型,服务器不会解析请求体,例如 POST JSON ;
第二种的格式要求主要是URL中的Query String的格式要求,多个键值对之间&连接,键与值之间=连接,除了ascii码都要经过URL编码;
第三种请求体一般是用于文件上传中,每个文件的content-type都会被指定。例如content-type的类型为application/octet-steam即为二进制文件,在利用文件上传时,若是想要上传如php文件,可以通过更改conten-type绕过过滤(如果存在过滤)
例:通过更改content-type上传一句话木马
358
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
