安全技术学习笔记与分享5——cookie,状态码,HTTP身份验证

最新推荐文章于 2024-04-08 01:31:34 发布
原创 最新推荐文章于 2024-04-08 01:31:34 发布 · 186 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析HTTP协议中的Cookie机制,包括其工作原理、属性及其对应用安全的影响。同时,概述了HTTP状态码分类,并探讨了HTTP身份验证的不同方式,如Basic、NTLM和Digest,以及它们在实际场景中的安全性考量。

cookie是一个关键部分,服务端使用cookie机制向客户端发送数据,客户端保存cookie并将其返回服务端。每一个请求都会向服务器提交cookie。其中set-cookie中可以设置一些可选的属性:
expires用于设定cookie的有效时间。
domain用于指定cookie的有效域。
path用于指定cookie的有效url路径。
secure,如果拥有这个属性,则仅在HTTPS请求中提交cookie。
HttpOnly,如果有这个属性,将无法通过客户端javascript直接访问cookie。
上面的几个属性都有可能影响应用程序的安全,攻击者可以利用此来向其他用户发动攻击。后续会补充主要攻击方式。

状态码包含的主要是5类,状态码较多,不一一赘述,下面只写一些个人归纳。
1xx——提供信息(服务器的相关信息提交返回)
2xx——请求被成功提交。
3xx——客户端被重定向到其他资源。(如一些URL,或者图片影视资源等)
4xx——请求包含某种错误。(如404-网页未找到)
5xx——服务器执行请求遇到错误。(如500-可能出现服务出错)

HTTP身份验证,最简单使用的是Basic。在消息头中随每条消息以Base64编码字符串的形式发送用户证书。
NTLM和Digest都是一种质询-响应式机制,第一个使用windows NTLM协议版本。第二个则是随同用户证书一起使用一个随机值校验和。

另外,澄清一下自己的错误观念,不知道一起学习分享的各位有没有意识到,我们认为HTTP身份验证以未加密方式发送,反而不安全,但是这里经过我看的很多银行网页和商业网页,都使用了HTTP身份验证,再以HTTPS的传输方式,来防止任何HTTP消息的窃听攻击,而这种方式是很多安全意识比较高的应用程序使用的机制。个人的一点反思,不知道各位了解网络窃听的老大们怎么看。

今天的分享到这里结束!

网络安全学习笔记——CSRF攻击
just do it
11-23 1368
CSRF 攻击多数情况下发起于第三方网站,少数发起于本站,如评论区等;且攻击对象必须是登陆状态;个人信息不会被窃取,而是冒用;CSRF 攻击手段多样化,可通过 URL,CORS 等发起攻击。
JavaWeb笔记整理04——登录-cookie、session
hello77的blogggg 祝你得偿所愿
08-08 1137
Cookie 和 Session 是协同工作用来在无状态的HTTP协议下保持用户状态的技术。通常,Session ID 存储在 Cookie 中,客户端浏览器通过 Cookie 自动将 Session ID 发送到服务器,服务器根据 Session ID 检索对应的 Session 数据来识别和管理用户的会话状态。简而言之,Cookie 用于在客户端存储 Session ID,而 Session 本身存储在服务器端,两者共同维护了用户会话的连续性。
计算机网络问题
qq_61465103的博客
04-18 1280
计算机网络问题
基于http身份验证手段(cookie,session,token)
ShiningDays的博客
09-20 1224
cookie,session,token
什么是CookieCookie的特征都有哪些?Cookie如何存储获取?
热门推荐
weixin_46501637的博客
04-27 1万+
1、什么是cookiecookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 比如:自动登录 用户名 2、创建cookie document.cookie = “username=value”; 3、Cookie的存储 cookie临时存储在本机,在打开网址时或者提交表单时自动裹挟着cookie数据发送到服...
常见的安全漏洞原理以及防御知识——第一章:基础篇---Cookie状态码HTTPS、HTTP身份验证(3)
日熙的博客
11-27 746
第一章:基础篇---Cookie状态码、Web功能1.cookie的介绍、构成2.cookie的属性3.状态码4.https 和 http代理5.Basic等身份认证方法6.要能看懂请求头、响应头(对方服务器的一些信息)Web功能服务器端功能客户端功能状态会话http常用消息头(补在前面的一篇文章去)请求消息头响应消息头 1.cookie的介绍、构成 (1)Cookie 简介: CookieHTTP协议的一个关键组成部分,攻击者常通过它来利用Web应用程序中的漏洞。 Cookie诞生的最初目的是为了存
安全技术学习笔记分享4——HTTP消息头
DRLDER的博客
03-12 239
常用的消息头: connection用于显示当前服务器的连接状态,存在保持连接和关闭连接两种。 content-encoding用于当前内容指定的编码形式。常见的有gzip方式。 content-length用于规定消息主体的字节长度。 content-type用于规定消息主体的内容类型。如text/html。 transfer-encoding这一项比较特殊...
SpringBoot学习笔记(七)——邮件发送SpringBoot其他框架
Harrison的学习博客
06-25 893
通过了解其他的SpringBoot框架,我们就可以在我们自己的Web服务器上实现更多更高级的功能。我们在注册很多的网站时,都会遇到邮件或是手机号验证,也就是通过你的邮箱或是手机短信去接受网站发给你的注册验证信息,填写验证码之后,就可以完成注册了,同时,网站也会绑定你的手机号或是邮箱。那么,像这样的功能,我们如何实现呢?SpringBoot已经给我们提供了封装好的邮件模块使用: 邮件发送 在学习邮件发送之前,我们需要先了解一下什么是电子邮件。电子邮件也是一种通信方式,是互联网应用最广的服务。通过网络的电子邮件
学习笔记】PythonWeb(Ⅰ)—— Flask
Eddie_hyh的博客
04-08 1967
PythonWeb第一部分:Flask
爬虫学习笔记(一)——爬虫原理
别呀的博客
06-14 1164
文章目录一、爬虫概念1.1、概念1.2、作用1.3、开发的重难点二、HTTPHTTPS2.1、网络架构2.2、HTTP协议2.2.1、原因2.2.2、概念及特点2.2.3、HTTP协议的使用 一、爬虫概念 1.1、概念 网络爬虫也叫网络蜘蛛,特指一类自动批量下载网络资源的程序,这是一个比较口语化的定义。更加专业和全面对的定义是:网络爬虫是伪装成客户端服务端进行数据交互的程序。这个专业的定义很重要,它描述了整个爬虫的过程,并提出了我们学习的内容:客户端,数据之间的交互过程;同时告诉我们,我们要做的工作,是
cookie详解,即什么是cookie
猪肉炖白菜
11-25 2564
cookie 的起源 早期的 Web 应用面临的最大问题之一就是如何维持状态。简言之,服务器无法知道两个请求是否来自于同一个浏览器。当时,最简单的办法就是在请求的页面中插入一个 token,然后在下次请求时将这个 token 返回至服务器。这需要在页面的 form 表单中插入一个包含 token 的隐藏域,或者将 token 放在 URL 的 query 字符串中来传递。这两种方法都需要手动...
HTTP状态码大全
weixin_33841503的博客
11-07 790
1、百科名片HTTP状态码HTTP Status Code)是用以表示网页服务器HTTP响应状态的3位数字代码。它由 RFC 2616 规范定义的,并得到RFC 2518、RFC 2817、RFC 2295、RFC 2774、RFC 4918等规范扩展。所有状态码的第一个数字代表了响应的五种状态之一。 2、具体含义1xx 消息这一类型的状态码,代表请求已被接受,需要继续处理。这类响应是临时...
黑客攻防技术宝典-Web实战篇——第三章、Web应用程序技术(HTTP)(二)
wwwmeymar的博客
01-16 1876
黑客攻防技术宝典-Web实战篇——第三章、Web应用程序技术(HTTP)(二) 书接上回 Cookie CookieHTTP协议中一个重要组成部分,也是攻击者利用的一个重要地方。 服务器使用cookie机制向客户发送数据,客户端保存cookie并将其返回服务器。(其他请求参数不同,用户无需额外操作浏览器自动提交) Set-Cookie作为响应消息头发布cookie 浏览器将Cookie请求头自...
cookie初级教程代码意思详解
Hedy的博客
10-28 1554
在w3cschool教程中cookie的示例代码感觉每一行都不是很懂,所以单独拿出来梳理一下。 1、cookie是什么 当你浏览一个网站的时候,网站会默认你是第一次来访。但是有了cookie,你的浏览器就会告诉那个网站,你看我已经来过了,我还带着你上次送给我的曲奇呢!所以,cookie是帮助记录你的浏览信息的一种工具。Cookie可以记录你浏览网页时的语言,你的电子邮箱地址还有密码,这样你就不...
mamba-ssm-2.2.2-cp310-cp310-win-amd64.whl+安装环境+测试脚本.7z
最新发布
12-15
编译环境: vs2022 win10 x64 anaconda3+python3.10 torch==2.3.1+cu118 cuda11.8.0+cudnn8.9.7 triton==2.1.0 causal_conv1d==1.4.0 mamba==2.2.2 RTX2070显卡 注意编译的whl是不能用于RTX50显卡的,可以用于RTX20-RTX40系列显卡,安装时候尽量和模块一致
toplus1s_calculator_32040_1765656584703.zip
12-15
toplus1s_calculator_32040_1765656584703.zip
ASP.NET4学习笔记Login控件详解
5. **安全性身份验证机制** ASP.NET4内置了完善的安全机制,包括表单验证(Forms Authentication)、Windows验证、角色管理(Role Management)等。学习笔记中可能涉及如何配置web.config文件启用这些功能,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

言行物恒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值