day2-数据包拓展

已于 2023-03-18 18:50:49 修改
阅读量709 收藏
点赞数
分类专栏: 网络安全学习记录 文章标签: 网络 安全 http
于 2023-03-18 02:11:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wpx02/article/details/129625120
版权

HTTP

HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件、图片文件、查询结果等。

HTTP协议一般用于B/S架构。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。

HTTPS

HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。

HTTP和HaTTPS区别

  • https是http协议的安全版本,http协议的数据传输是明文的,是不安全的,https使用了SSL/TLS+http协议进行了加密处理。
  • http和https使用连接方式不同,默认端口也不一样,http是80,https是443。

SSL

ssl(Secure Socket Layer)代表安全套接字层。它是一种用于加密和验证应用程序(eg浏览器)和web服务器之间发送的数据的协议。
加密https的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。
ssl/tls(前身是ssl)协议作用:认证用户和服务,加密数据,维护数据的完整性的应用层协议和解密需要两个不同的密钥,故被称为非对称加密。

状态码的分类

1XX- 信息型,服务器收到请求,需要请求者继续操作。
2XX- 成功型,请求成功收到,理解并处理。
3XX - 重定向,需要进一步的操作以完成请求。
4XX - 客户端错误,请求包含语法错误或无法完成请求。
5XX - 服务器错误,服务器在处理请求的过程中发生了错误。

常见的状态码

200 OK - 客户端请求成功
301 - 资源(网页等)被永久转移到其它URL
302 - 临时跳转
400 Bad Request - 客户端请求有语法错误,不能被服务器所理解
401 Unauthorized - 请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
404 - 请求资源不存在,可能是输入了错误的URL
500 - 服务器内部发生了不可预期的错误
503 Server Unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常。

URL和URI区别

URI统一资源标识符,用来唯一的标识一个资源。

get和post的区别

都包含请求头请求行,post多了请求body。
1.get多用来查询,请求参数放在url中,不会对服务器上的内容产生作用。post用来提交,如把账号密码放入body中。
2.get是直接添加到URL后面的,直接就可以在URL中看到内容,而post是放在报文内部的,用户无法直接看到。
3.get提交的数据长度是有限制的,因为URL长度有限制,具体的长度限制视浏览器而定。而post没有。
4.get请求会被浏览器主动缓存,而post不会。
5.get产生一个tcp数据包,浏览器会把http header和data一起发送出去,服务器响应200;post产生两个tcp数据包,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok。

burp抓取https数据包

首先在burp中将证书导出到本地

然后浏览器中连接设置,选择手动配置代理

最后查看证书,导入,选择信任由此证书颁发机构来标识网站

 成功

 eg:

IP/IPv6查询,服务器地址查询 - 站长工具

修改站长之家的返回信息

修改之前的数据包

 我们修改user-agent信息把他改为11111111

 这个操作只是为了说明网站是通过数据包访问

靶场练习

1.浏览器信息伪造_网络安全_在线靶场_墨者学院_专注于网络安全人才培养

打开网站显示如下

根据提示判断微信特有的NetType,将User-Agent替换成Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G

 修改数据包后提交获得key

2.来源页伪造_网络安全_在线靶场_墨者学院_专注于网络安全人才培养

打开网站显示只允许从google.com访问

 抓包查看Referer,将来源网站修改为google.com

返回成功得到key。

3.HTTP动作练习_网络安全_在线靶场_墨者学院_专注于网络安全人才培养

网站打开显示url太长,发现是get请求限制长度

 更改为post请求,send失败显示content格式错误,添加Content-Type:application/x-www-form-urlencoded,重新send成功,得到key。

4.投票系统程序设计缺陷分析_网络安全_在线靶场_墨者学院_专注于网络安全人才培养

题目是投票,要把票数投到第一,有检测ip限制,则伪造X-Forwarded-For,随便输入一个IP,转发到intrude进行狙击手爆破,设置payload ,选择number,范围从1-255,step为1,进行爆破,爆破完之后,放包,具体过程如下:

 

wilionx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全入门day02——数据包拓展
weixin_60937978的博客
04-21 172
一、网站解析对应 二、HTTP/S数据包 1、浏览器—网站服务器 浏览器请求数据包 网站返回数据包 2、浏览器—代理—网站服务器
http://www.haolizi.net/example/view_2380.html
weixin_30802273的博客
09-25 425
null 转载于:https://www.cnblogs.com/liyanwei/p/7593420.html
AMTK.ZIP_:www.amtk.com_AMTk:COm_amtk.com_amtk2.com_https://amtk2
09-20
amtk CPU Dallas 89C251 programmer driver
HttpHttps的区别
刘海阳的博客
08-31 492
1、https协议需要到ca申请证书,一般免费证书很少,需要交费。 2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。3、httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全
wrk_8_base_perfect_pwm_remap.zip_Design It!_PWM PIC18f_hattps//8
07-14
pic18f example project for mplab. it includes pwm with pin remap. uart, delay using timer0. Good design style. Question, mail urenhu@yahoo.com
自动保存上网帐号密码到D盘
01-30
自动保存上网帐号密码到D盘
第02天:基础入门-数据包拓展
cailme的博客
03-29 76
渗透测试day2
小迪安全-Day2数据包拓展
weixin_55129870的博客
05-13 330
HTTP/S数据包 1.request请求数据包 Request对象用于接收客户端浏览器提交的数据,有五个集合: 1)QueryString:用以获取客户端附在url地址后的查询字符串中的信息。 2)Form:用以获取客户端在FORM表单中所输入的信息。(表单的method属性值需要为POST) 3)Cookies:用以获取客户端的Cookie信息。 4)ServerVariables:用以获取客户端发出的HTTP请求信息中的头信息及服务器端环境变量信息。 5)ClientCerti...
【小迪安全】Day1-2基础入门-概念名词及数据包拓展.md
qq_44312640的博客
10-12 349
web安全基础名词及burpSuite工具的下载安装使用
day1_day2-2020-ASN.zip
12-30
标题中的"day1_day2-2020-ASN.zip"是一个压缩文件,根据描述,它包含了名为"DAY1-2020"和"DAY2-2020"两个子目录,这些目录下的内容主要是ASN(Abstract Syntax Notation)代码。ASN是一种标准化的编码系统,通常用于...
Day-to-daywithSubversion
02-21
Howmanytimeshaveyousaid"Whatversionisinproduction?"or"Canwerebuildproductiontofixabugandreleaseanupdate?"Betteryetmyfavourite:"We'reworkingonFeatureYsowecan'tfixthebugforFeatureX....
8.day2-浮点型与字符型.avi.baiduyun.downloading
05-12
王道基础C语言教学视频,快速掌握C语言编写技能,视频非常基础,之前参加王道训练营的时候学习的资料,希望能帮助一些吃语言小白学习。
day2-密码登录.c
10-28
day2-密码登录.c
day07-2.cpp
04-01
day07-2.cpp
常见服务器性能指标:QPS、TPS、RT、Load、PV、UV、带宽
热门推荐
南有南无
12-31 2万+
一:QPS 原理:每天80%的访问集中在20%的时间里,这20%时间叫做峰值时间。 公式:( 总PV数 * 80% ) / ( 每天秒数 * 20% ) = 峰值时间每秒请求数(QPS) 。 PV(page view)即页面浏览量,通常是衡量一个网络新闻频道或网站甚至一条网络新闻的主要指标。网页浏览数是评价网站流量最常用的指标之一,简称为PV。 机器:峰值时间每秒QPS / 单台机器...
bflops理解
shuijinghua的博客
05-22 1万+
参考:https://blog.csdn.net/avideointerfaces/article/details/88243699 最近看目标检测论文,经常看到BFLOPS的概念,对其比较疑惑,这里结合源代码来理解一下. BFLOPS有两个不同场景下的解释,第一种是描述硬件运算性能的单位,这时其全称是Billion Float operations per second,即每秒能进行多少个 十亿次浮点运算符;第二种是描述某次卷积运算需要的多少个十亿次浮点运算,其全称是billion float ope
spark程序提交执行,spark-shell,算子
qq_36459386的博客
12-21 1532
spark-shell里的内容: 调用spark-submit,默认名字Spark shell,$@相当于获取用户输入的模式(比如local) "${SPARK_HOME}"/bin/spark-submit --class org.apache.spark.repl.Main --name "Spark shell&amp
Connection reset by peer报错解决
最新发布
m0_65307735的博客
08-16 320
Connection reset by peer报错解决
day--和--day区别
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值