(2020上半年第9天)小迪网络安全笔记(操作①)HTTP请求方式不同如何破解

最新推荐文章于 2024-04-21 15:51:40 发布
最新推荐文章于 2024-04-21 15:51:40 发布
阅读量544 收藏
点赞数 1
分类专栏: 2020全年小迪网络安全笔记 文章标签: 安全 安全漏洞 云安全 信息安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013630181/article/details/118116142
版权
本文探讨了HTTP的多种请求方法,并通过PHP的$_SERVER详细用法展示了它们的区别。在测试过程中,遇到数字提交问题,提出了使用浏览器插件、分析数据包和抓包软件(如Burpsuite)等解决方案。文中还提供了Burpsuite的安装教程和使用场景,强调其在后期测试中的重要性。
摘要由CSDN通过智能技术生成

HTTP请求方式中8种请求方法:链接
PHP中$_SERVER的详细用法
链接
写了那么多提交方式究竟有什么区别呢?这里做了一个小实验
在这里插入图片描述

上面是四种提交方式,下面是效果
在这里插入图片描述

大家会发现cookie和post不识别数字,so…如果测试人员不知道提交方式的时候很容易测试不出来。那解决方法是什么呢?我们继续

补充:burpsuite安装
我们会用到brub suit
旧版burpsuite安装:链接
新版直接去官网下载就行了,这款软件正版是要钱的,so注册机网上有很多。
安装教程推荐:链接
Burpsuite对jdk版本有要求,这个注意一下(安装时会有提示)
jdk下载:链接
Jdk环境配置:链接
新版下载后直接安装就可以了(我用的是burpsuit新版+jdk13)

回归正题,那怎么解决问题呢。
①用浏览器插件(一搜一大堆这里就不举例子了,浏览器装软件)
②分析网站数据包
③抓包软件进行抓包测试(重要)()
下面我们演示第三种方法,用burpsuit进行抓包测试

演示开始:
在这里插入图片描述

因为后期有很多用Burpsuite的时候,这个教程必须看完:
链接

.白菜白菜大白菜.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控型木马,基础性文章,希望对您有所帮助~
(干货,建议收藏)备战2021年软考中级网络工程师-02操作系统
x978404178的博客
08-10 1429
备战2021年软考中级网络工程师-02操作系统 本文目录一、前言二、中级网络工程师复习笔记-02操作系统(一)操作系统概述计算机软件总体分为系统软件和应用软件两大类程序设计语言分类1.机器语言2.汇编语言3.高级语言4.4GL语言(二)进程管理三种状态转换关系1.运行态--->就绪态2.就绪态--->运行态3.运行态--->阻塞态4.阻塞态--->就绪态死锁的四个必要条件〈1〉互斥条件〈2〉不可抢占条件〈3〉保持和等待条件〈4〉循环等待条件死锁破解方法1.死锁预防2.死锁避免3.死锁
2020小迪安全第九笔记-(信息收集)APP 及其他资产等
weixin_51566416的博客
12-07 2870
笔记来源视频:【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-APP 及其他资产等 在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要 借助 APP 或其他资产在进行信息收集,从而开展后续渗透,那么其中的 信息收集就尤为重要,这里我们用案例讲解试试如何! APP 提取及抓包及后续配合 #APP 提取一键反编译提取 如:“漏了个大洞.zip”里面的cmd命令 #APP 抓数据包进行工具配合 ...
小迪安全学习笔记--第8/9/10:信息收集合集
zr1213159840的博客
10-26 2460
课程链接 第七到十都是信息收集 信息收集 架构,搭建,WAF CDN有无为标准 首先关注的是源码信息:是否是开源的CMS。接着是对方的操作系统,搭建的平台,数据库的类型 接着是站点的搭建:目录站点,端口站点,子域名站点,旁站,C段,类似域名站点 最后是防护的应用:安全够,宝塔,云盾,安骑士等等 假如看到的是APP怎么办? 首先考虑的还是web角度,查找web相关的页面。如果不是web协议的,就需要使用一些工具去提取web页面。如果还是不行的话,就需要进行反编译和逆向了。 CMS识别技术 之前的课中已经有了
B站小迪安全学习笔记第9-信息收集APP及其他资产
m0_61530426的博客
07-15 339
B站小迪安全笔记
HTTP请求方式中8种请求方法
爱运迪爱JAVA
11-18 114
第九学习笔记-信息收集
dh_bliss的博客
08-11 329
CND绕过技术,实战分析
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
【计网】第四章 网络层
weixin_37706349的博客
09-04 3774
网络层是路由器最高层。转发发生在路由器内部(微观),路由选择发生在路由器外部(宏观路由器之间)。主要任务是把分组从源端传到目的端,为分组交换网上的不同主机提供通信服务。网络层的传输单位是数据报。(把数据报切割成分组)(1)路由选择与分组转发,确定最佳路径(2)实现异构网络互联(手机、电脑、4G、WiFi、校园网,依靠路由器连接在一起)(3)拥塞控制:若所有结点都来不及接收分组,而要丢弃大量分组的话,网络就处于拥塞状态。因此要采取一定措施,缓解这种拥塞。
性能调优篇-困扰我半年多的RocketMQ-timeout-exception-终于被破解
最新发布
2401_84048290的博客
04-21 797
分享一套我整理的面试干货,这份文档结合了我多年的面试官经验,站在面试官的角度来告诉你,面试官提的那些问题他最想听到你给他的回答是什么,分享出来帮助那些对前途感到迷茫的朋友。
2020-V6-小迪安全讲义和相关笔记.zip
08-24
2020.V6小迪安全讲义和相关笔记
解密HTTP协议
cj1561435010的博客
09-04 360
一、浏览器请求服务器的整个流程        浏览器输入URL,浏览器作为HTTP请求发起的客户端,首先会找到本机的hosts文件中有没有IP和域名的映射关系,没找到先请求本地的DNS域名解析服务器,也就是配置宽带时候设置的DNS,一般是8.8.8.8或者114.114.114.114。如果本地DNS服务器没找到就将这个域名往根DNS域名解析服务器(也可以设置不直接请求根DNS服务器,而是采用就近原则,逐层往上抛)上丢,逐层去解析域名,一
【htpwdScan 是一个HTTP暴力破解、撞库测试工具。】
pqz1425374181的博客
03-23 9409
htpwdScan 是一个HTTP暴力破解、撞库测试工具。
小迪安全第14 web漏洞,SQL注入之类型及提交注入
qq_46116117的博客
12-14 1578
14 web漏洞,SQL注入之类型及提交注入 ​ 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字,字符,搜索性,json等 数字型参数 字符型参数 如果字符型参数未加单引号,则会报错 字符型参数注入需要将单引号闭合 如: select * from users where name = 'xihua and 1=1' select * fr
HttpClient 破解登陆带有验证码的网站拿到数据
qq_35657063的博客
09-14 3109
对于爬虫来说,验证码通常是实现过程中的一个巨大的障碍,因为验证码的多样性,有的甚至变态至极,所有一般来说使用代码自动识别验证码是非常困难的,本问的内容就是讲如何将验证码保存到本地,然后通过人工输入验证码实现登陆,从而抓取网页信息。 首先说说整个登陆的流程,当我们打开一个网站的时候,浏览器就会记录该网站的cookie,用于识别信息,同时服务器会向浏览器发送一张...
渗透测试--数据包拓展(小迪
mr_yuyou的博客
06-19 536
数据包拓展: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S55Od034-1624081327846)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20210603203134670.png)] HttpHttps的区别: Http简要通信过程: 建立连接–>发送请求数据包–>发挥响应数据包–>关闭连接 1.浏览器建立于Web服务器之间 的连接 2.浏览器请求数据包(生
小迪WEB
热门推荐
weixin_52125240的博客
09-26 2万+
WEB-学习小迪安全第01:基础入门—概念名词域名 小迪安全 第01:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图中news.baidu.com为二级域
暴力破解HTTP验证
weixin_34248705的博客
01-01 546
首先,你总得有像样的字典吧。去国外网站上下wordlist吧,或者自己写个简单的程序来生成字典。如果不会写程序,呵呵呵呵,那就下载字典生成程序吧 。(不过网上下的wordlist,或者用网上下的字典生成程序生成的字典,好像都不好用) 其次,你总得有工具来运用字典干活吧。可以从网上下载工具,比如大名鼎鼎的brutus。Brutus 可以从 [url]http://www...
[http]http转义和加解密方法
second60的博客
02-02 9536
http转义和加解密 second60  20180202 1 背景 无论在客户端还是在服务端程序中,http是用的非常之多的协议。但使用http有自已的规则,本文说的是http的转义和加解密的方法之一       2 转义 2.1原因: http参数中不能传特殊字符,因为很多特殊字符内部已使用。如:= # ?等   所以在发前前,发送的内容必须经过转义。   如: http
小迪安全2020v6笔记
10-05
小迪安全2020v6笔记是一款以网络安全为主题的笔记软件。该软件在2020年进行了升级,版本为v6。 小迪安全2020v6笔记通过提供强大的加密功能,保护用户的笔记内容不被他人访问。用户可以创建多个笔记本,并在每个笔记本中添加、编辑和查看笔记。同时,用户还可以为每个笔记设置密码,进一步增加了笔记安全性。 该软件还提供了实时同步功能,使得用户无论使用何种设备,都能随时随地查看和编辑笔记。这样,用户可以轻松地在电脑、手机和平板电脑之间切换,方便地管理和更新自己的笔记小迪安全2020v6笔记还具有友好的用户界面和简洁明了的操作方式,使得用户能够快速上手。同时,软件还提供了多种样式和主题供用户选择,以满足不同用户的喜好和需求。 此外,该软件还具备数据备份和恢复功能,用户可以定期备份自己的笔记,确保数据不会丢失。同时,如果用户不小心删除了笔记,也可以通过软件提供的恢复功能将其找回。 总之,小迪安全2020v6笔记是一款功能强大、安全可靠的网络安全笔记软件。它不仅提供了加密和密码功能,保护用户的笔记隐私,还具备实时同步、多设备支持和数据备份恢复等便利功能,帮助用户高效地管理和保护自己的笔记内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.白菜白菜大白菜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值