本文介绍了web安全的基础知识,包括HTTP/S数据包的传输过程,详细讲解了HTTP和HTTPS的区别,重点阐述了HTTPS的工作原理,从客户端发起请求到服务器响应的每个步骤,并涉及HTTP请求和响应数据包的格式。还提到了实际操作中的抓包工具使用和安全检测方法。
目录
一、网站解析对应
二、HTTP/S数据包
1、浏览器—网站服务器
浏览器请求数据包
网站返回数据包
2、浏览器—代理—网站服务器
三、http和https的区别
1.区别
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
2.http
是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
3. https
安全超文本传输协议,即为http的安全版,即为http下加ssl。
(1)工作原理:
① 客户端发起HTTPS请求
用户在浏览器里输入一个https网址,然后连接到server的443端口。
② 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择,有1年的免费服务)。
这套证书其实就是一对公钥和私钥,如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
③传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
④客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。
如果证书没有问题,那么就生成一个随机值,然后用证书对该随机值进行加密,就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
⑤传送加密信息
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
⑥服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
⑦传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
⑧客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容,整个过程第三方即使监听到了数据,也束手无策。
(2)通信过程
建立连接——> 发送请求包——>返回响应数据包——>关闭链接
request请求数据包格式
① 请求行:
请求类型/请求资源路径、协议版本和类型
有三个标记组成:请求方法、请求URL和http版本,他们用空格分享
eg GET /index.html HTTP/1.1
请求头
②请求列:一些键值对,浏览器与web服务器之间都可以发送,特定的某种含义
③空行:请求头与请求体之间一个空行隔开,发送回车符和退行,通知服务器以下不再有头标
④请求体:要发送的数据(一般用post提交会使用),eg:user=123&pass=123
最常使用的是 content--type 和 content-length头标。
response请求数据包格式
200 存在文件
403 存在文件夹
3xx 均可能存在
404 不存在文件即文件夹
500 均可能存在
eg:
响应头标
像请求头标一样,他们指出服务器的功能,表示出相应数据的细节
空行
最后一个响应投标之后是一个空行,发送回车符,表明服务器以下不再有头标
相应数据
HTML文档和图像等,也就是HTML本身
涉及演示案例
burpsuite抓包工具修改
敏感文件扫描工具简要实现
第三方检测修改实现xss攻击
数据包相关检验对比(APP与直接访问)
CTF或实际应用中部分考题解析
扫一扫
3068
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
