HTTP认证之基本认证

原创 已于 2022-06-01 16:27:24 修改 · 2.5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTP #基本认证 #Basic Auth

于 2020-10-30 23:01:37 首次发布
HTTP基本认证是一种明文传输用户ID和密码的认证方式,存在安全隐患。它通过响应头部和请求头部进行交互,当客户端请求受限资源时,服务端会返回401响应并携带认证信息。客户端随后编码用户名和密码并通过请求头部发送,服务端验证成功则返回资源,失败则返回错误。使用时应配合HTTPS以确保安全性。

HTTP 基本认证(Basic Authentication)是在RFC7617 - IETF中定义的一种认证方式,它使用以Base64编码的用户ID/密码对作为用户的身份凭证。由于HTTP Basic认证是以明文的形式传输用户ID以及密码(Base64是一种可逆的编码方式),在未搭配HTTPS的情况下使用是不安全的。

HTTP Basic认证主要通过HTTP的WWW-Authenticate响应头部以及Authorization请求头部进行实现,其流程大致为:

  • 客户端在未提供用户身份凭证的情况下请求受限资源;
  • 服务端接受请求,返回带有WWW-Authenticate响应头部的401 Unauthorized响应;
  • 客户端获得用户ID以及密码,编码后发出带有Authorization请求头部的请求;
  • 服务端根据请求提供的身份凭证返回请求的资源或是返回错误。

WWW-Authenticate响应头部

WWW-Authenticate响应头部用于告知客户端使用何种验证方式,它通常与401响应(Unauthorized)一起返回。WWW-Authenticate的格式如下:

WWW-Authenticate: <type> [realm=<realm>] [charset=<charset>]

WWW-Authenticate可设置的指令为:

  • type:验证的类型,常见的值有BasicBearerOAuth等,更多的值可参考HTTP Authentication Schemes - IANA。在本文中将使用Basic值。
  • realm:保护区的描述,在未指定的情况下客户端默认显示为格式化的主机名。当使用Basic认证时,realm为必须的指令。
  • charset:告知客户端用户名和密码首选的编码方式,唯一允许的值为不区分大小写的UTF-8

以下为使用Basic认证时服务器返回的响应头示例:

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm="Protect Space" charset="UTF-8"

Authorization请求头部

Authorization用于设置含有服务器验证用户所需的身份凭证,它通常在服务器返回带有WWW-Authenticate响应头部的401 Unauthorized响应之后的请求中发送。

Authorization: <type> <credentials>

Authorization可设置的指令为:

  • type:即上文中提到的验证类型,Authorization头部中设置的值将与WWW-Authenticate返回的类型保持一致,在本文中即为Basic
  • credentials:用户的身份凭证。

其中,使用Basic认证时,身份凭证为一个使用:连接的用户名及密码,并使用Base64进行编码。

下面是以JavaScript实现的请求示例:

const username = 'user';
const password = 'pass';
const credentials = btoa(username + ':' + password);
console.log(credentials);
// dXNlcjpwYXNz

fetch(url, {
   
   
  headers: {
   
   
    Authorization: `Basic ${
     
     credentials}`
  }
});

发出的请求头部示例如:

GET / HTTP/1.1
Authorization: Basic dXNlcjpwYXNz

一个简单的验证交互示例

最低0.47元/天 解锁文章
http basic认证
码农小麦
07-01 1952
basic基本认证是从HTTP/1.0定义的认证方式,就是在http请求头部添加Authorization字段,传值: Basic + base64编码的(用户名:密码)。
HTTP Basic Authentication认证
Ee01114295的博客
08-30 786
HTTP基本认证   桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64算法加密后的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)   我用中文简述一下http auth的过程: ...
HTTPhttp 401Basic验证和WWW-Authenticate、Authorization
厚积薄发者,轻舟万重山
05-31 8703
http 401Basic验证和WWW-Authenticate、Authorization
HTTP基础认证Basic Authentication
03-21 467
HTTP基础认证Basic Authentication Basic Authentication是一种HTTP访问控制方式,用于限制对网站资源的访问。这种方式不需要Cookie和Session,只需要客户端发...
HTTP基本认证(Basic Authentication)
热门推荐
一个写了10年bug的程序员日常笔记。
11-30 3万+
在浏览网页时候,浏览器会弹出一个登录验证的对话框,如下图,这就是使用HTTP基本认证。 1、 客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。 如下图。2、:浏览器在接受到401 Unautho
HTTP认证基本认证——Basic(*)
weixin_42408447的博客
11-12 3155
一、概述 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 二、剖析 1.当打开需要认证的页面时,会弹出一个对话框,要求输入用户名和密码 2.使用Fiddler监听请求,可以看到在未进行认证认证失败的情况下,服务端会返回401 Unauthorized给客户端,并附带Challenge(质询),即在Response Header中添加WWW-Authenticate标头,浏览器识别到Ba
golang的HTTP基本认证机制实例详解
09-21
在Golang中,HTTP基本认证是一种简单而广泛使用的身份验证机制,它允许服务器验证客户端(通常是Web浏览器)发送的请求。基本认证的工作原理是,当客户端首次尝试访问受保护的资源时,服务器会返回一个401 ...
PHP中基本HTTP认证技巧分析
10-24
在探讨PHP中基本HTTP认证技巧之前,我们首先需要了解HTTP认证基本概念。HTTP身份验证是Web服务器用来验证用户身份的一种机制。当客户端尝试访问需要身份验证的资源时,Web服务器会要求用户提供用户名和密码。根据...
Vert.x,认证与授权 - HTTP基本认证
10-21
HTTP基本认证是一种用于Web服务器的安全认证机制,它的基本原理是利用HTTP协议提供的头部信息,通过用户ID和密码进行认证。 在Vert.x中实现HTTP基本认证,需要使用Vert.x的安全模块,该模块提供了用户认证和授权的...
HTTP Basic Authentication
诗人不写诗
10-14 417
这个认证HTTP协议层次的,在你访问一个需要HTTP Basic Authentication的URL的时候,如果你没有提供用户名和密码,服务器就会返回401,如果你直接在浏览器中打开,浏览器会提示你输入用户名和密码,此时解决的方式有两种,要在发送请求的时候添加HTTP Basic Authentication认证信息到请求中 一、在请求头中添加Authorization: Authori...
httpbasic 认证方式
wang0907的博客
04-28 8246
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
HTTP Basic 认证
全栈空间
10-12 823
HTTPBasic认证难度等级:【初级】由RFC7617定义的HTTPBasic认证是一种非常基础而简单的认证模式,因此叫他Basic认证。他本质上就是浏览器提供的一个接口,能够根据HTTP返回值,自动弹出一个登录框,让用户输入ID和密码,最后发给服务器校验,如若成功,此后每次请求都会携带这个头部。Basic认证确实省去了许多麻烦事:不需要再手写一个前端登录界面,不需要缓存token塞到请求...
接口测试 之 HTTP 1.1 认证BASIC认证
weixin_39472415的博客
09-22 2168
basic认证介绍认证步骤步骤图解BASIC 认证的的缺点测试:认证失败测试:认证成功 介绍 BASIC 认证基本认证)是从HTTP/1. 1 就定义的认证方式,是Web服务器与通信客户端之间进行的认证 认证步骤 步骤1:当请求的资源需要 BASIC 认证时,服务器会随状态码 401 Authorization Required,返回 WWW-Authenticate 首部字段(响应头)的响应。该字段内包含认证的方式(BASIC)及Request-URI 安全域字符串(realm)。 步骤2:接收到状
Web services 安全实践,第 1 部分: 基于 HTTP Basic Authentication 为 Web services 配置传输层安全机制
linjinxiao的专栏
02-05 2507
转自:http://www.ibm.com/developerworks/cn/webservices/1106_webservicessecurity/index.html。     吕 双涛, 软件测试工程师, 同方鼎欣信息技术有限公司 黄 彦军, 软件工程师, IBM 柏 越, 软件工程师, IBM 简介: 根据 RFC2617 的规定,HTT
http基本认证ctfhub
最新发布
04-03
### HTTP基本认证的实现方式 HTTP基本认证是一种简单的身份验证机制,客户端通过请求头中的`Authorization`字段传递用户名和密码给服务器。这种认证方式通常用于保护资源免受未授权访问。 #### 认证流程 当客户端尝试访问受保护的资源时,如果未提供有效的凭证,服务器会返回状态码 `401 Unauthorized` 并附带一个 `WWW-Authenticate` 头部,指示需要进行基本认证[^1]。 随后,客户端会在后续请求中,在头部加入如下形式的内容: ```http GET /protected/page.html HTTP/1.1 Host: example.com Authorization: Basic dXNlcjE6cGFzczE= ``` 其中,`Basic dXNlcjE6cGFzczE=` 是经过 Base64 编码后的字符串,表示用户名和密码组合(例如:`username:password` 被编码为 `dXNlcjE6cGFzczE=`)。 #### 在CTFHub上的应用实例 在 CTFHub 的靶场环境中,SSRF漏洞练习场景可能会涉及 HTTP 基本认证的应用。例如,攻击者可以通过伪造带有有效认证信息的请求来访问目标系统的内部服务或接口[^2]。 假设存在一个内网服务 `/internal/api/data` 受到 HTTP 基本认证保护,则可以构造如下请求模拟合法用户的访问行为: ```http GET http://localhost/internal/api/data HTTP/1.1 Host: localhost Authorization: Basic YWRtaW46MTIzNDU2 ``` 这里的 `YWRtaW46MTIzNDU6` 对应的是用户名 `admin` 和密码 `123456` 的 Base64 编码结果。 #### 利用 Gopher 协议发送 POST 请求 某些情况下,为了进一步测试 SSRF 或其他类型的漏洞,可能需要用到更复杂的协议支持。比如,Gopher 协议会允许构建自定义数据包并提交至指定端口。以下是基于 Gopher 协议的一个简单例子,展示如何向远程主机发送 POST 数据[^3]: ```plaintext gopher://target_host:port/_POST /path/to/resource HTTP/1.1%0D%0AHost:%20example.com%0D%0AAuthorization:%20Basic%20YWRtaW46MTIzNDU2%0D%0AContent-Type:%20application/x-www-form-urlencoded%0D%0AContent-Length:%2013%0D%0A%0D%0Aparam=value ``` 此 URL 将执行一次标准的 HTTP POST 请求操作,并附加必要的认证令牌以及表单参数。 --- ### 相关工具与技术扩展 对于实际渗透测试过程中遇到的安全设备检测问题,可考虑使用专门设计用来分析 Web 应用防火墙 (WAF) 类型及其配置特性的开源项目——WAFW00f 工具来进行辅助判断[^4]。另外,针对跨域资源共享限制条件下发起反向代理连接的需求,也可以参考 rebinder 技术方案完成动态 DNS 解析绑定处理[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值