【web安全深度剖析】笔记——HTTP

HTTP请求方法

序号方法描述
1GET请求指定的页面的资源,并返回实体主体。(如果请求资源为php、jsp等,则解析后进行展示)
2HEAD用于获取报头,类似于get请求,只不过返回的响应中没有具体的内容。(常用于扫描)
3POST向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。常用于向服务器发送大量数据。(如请求login.php,并传递账户密码等信息)
4PUT客户端向服务器传送的数据取代指定的内容。(可以在服务器端创建,一般会禁用此方法)
5DELETE请求服务器删除指定的页面。(可以在服务器端删除,一般会禁用此方法)
6CONNECTHTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
7OPTIONS允许客户端查看服务器的性能。(可以查看服务器端允许的请求方法,可以用来收集信息)
8TRACE回显服务器收到的请求,主要用于测试或诊断。

HTTP状态码

  • 1xx:信息提示,表示请求已被成功接收,继续处理。100~101.
  • 2xx:成功,服务器成功处理了请求。200~206.
  • 3xx:重定向。300~305.
  • 4xx:客户端错误状态码。400~415.
  • 5xx:web服务器出错。500~505.

常见状态码:

状态码描述
200请求成功
301资源(网页等)被永久转移到其它URL
302重定向
400请求语法错误
401请求未经授权
403服务器拒绝提供服务
404请求的资源(网页等)不存在
500内部服务器错误

HTTP消息头

请求头解释
host域名
user-agent客户端信息
referer上一个页面
cookie表示请求者身份
range请求实体的部分内容
x-forward-forxff头,表示请求段的ip
accept客户端希望接收的消息类型
accept-charset客户端希望接收的字符类型
响应解释
serverWeb服务器的名称
set-cookie向客户端设置cookie
last-modified资源上次修改时间
location重定向的页面位置
refresh定时刷新浏览器
实体头解释
content-type告知客户端实体的类型
content-encoding应用到实体正文中附加内容的编码
content-length实体正文的长度
last-modified资源上次修改时间

截取HTTP请求

工具:burpsuite、fiddler

搜索引擎劫持

现象:直接输入自己网站的域名可直接登录,但是从搜索引擎搜到页面点击时,会跳转到其他页面

http头中有一个字段referer,可记录用户从哪个页面点击过来的,黑客通过user-agent字段实现搜索到从百度等搜索引擎跳转过来的访问请求时,构造一个location字段跳转到其他页面。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZhShy23

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值