Web安全你了解多少(二)- HTTP基础&安全溯源

已于 2022-07-12 00:57:12 修改
阅读量3.7k 收藏
点赞数 1
分类专栏: web安全攻防入门 文章标签: 安全 web安全 http
于 2022-07-11 22:08:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42431419/article/details/125730745
版权

协议基础

HTTP定义了客户端如何从Web服务器请求Web页面,以及Web服务器如何把Web页面传送给客户端

  1. 客户端连接到Web服务器

  2. 发送HTTP请求

    通过TCP套接字,向Web服务器发送文本请求报文,一个请求报文由请求行、请求头部、空行和请求数据4部分组成

  3. 服务器接收请求并返回HTTP响应

    Web服务器解析请求,定位请求资源,将资源副本写到TCP套接字,由客户端读取

    一个完整的响应 由状态行、响应头部、空行(请求空行)和响应数据(请求体)4部分组成

  4. 释放TCP连接

    返回响应之后,服务器检测connection状态,若connection模式为close,则服务器主动关闭TCP连接,客户端被动关闭连接,释放TCP连接

    若connection模式为keepalive,则该连接会保持一段时间,在该时间内可以继续接收请求

  5. 客户端浏览器解析HTML内容

HTTP协议的组成结构

在这里插入图片描述

  • 请求方法

    GET POST , DELETE HEAD OPTIONS PUT TRACE

  • GET/POST

    • 从参数传递方面来看

      GET直接拼接URL,POST参数是放在请求体里面

    • 从长度限制角度来讲

      GET一般不超过1024K,POST理论上没有,但浏览器可能有自己的限制

    • 从安全角度来讲

      GET明文,安全性低

      但是从本质上来说,GET POST都是TCP连接,并无本质的区别。由于HTTP/浏览器的限定,导致在应用过程中体现出一些不同。

      GET产生一个数据包,POST产生两个数据包

      GET请求,浏览器会把http header 和 data一并发出去,服务器响应200(返回数据)

      POST, 浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok

通过上一篇文章 Web安全你了解多少(一)- 搭建一个django网站 搭建的网站,对比下get post

对于访问资源来讲,GET是最主要的一个应用场景

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • HTTP请求方法 和 响应代码

在这里插入图片描述

Web安全起源

在这里插入图片描述
Web应用全都建立在http协议基础上,是对http协议的实际应用

在实现http协议的过程中,没有做到足够强大足够充足的约束,导致攻击者能够利用其中的薄弱环节进行攻击

web安全攻防要点

  • 客户端脚本安全

    • 浏览器安全

    • 跨站脚本攻击(xss)

      • 反射型
      • 存储型
      • DOM型

    • 跨站点请求伪造(CSRF)

    • 点击劫持(Click Jacking)

    • 网页钓鱼

  • 服务端应用安全

    • 认证与会话管理
    • 访问控制
    • 加密算法安全
    • SQL注入攻击
      • GET注入
      • POST注入
      • HTTP头注入
    • 文件上传漏洞
    • Web框架漏洞
    • 拒绝服务攻击 (应用层 传输层)
    • 开发语言安全
      • 文件包含漏洞
      • 变量覆盖漏洞
      • 代码执行漏洞
    • Web Server配置安全(容器配置) - 远程命令执行

  • 业务逻辑安全

  • Web安全你了解多少(三)- 工具的使用

[网络安全自学篇] 十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
网络安全 hw 蓝队实战之溯源
zxcvbnmasdflzl的博客
04-03 960
网络安全 hw 蓝队实战之溯源
HTTP(一)HTTP溯源
conganguo的专栏
12-07 853
http://blog.youkuaiyun.com/hguisu/article/details/8680808  1. HTTP简介          HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输
墨者学院 - WebShell代码分析溯源(第2题)
多崎巡礼的博客
07-31 787
<?php  $POST['POST']='assert'; $array[]=$POST; $array[0]['POST']($_POST['assert']) ;?> assert,是php代码执行函数,与eval()有同样的功能,assert()函数中参数为表达式 (或者为函数) 因为$array[], POST[]都是数组,所以$array[]=$POST,就是...
Web入侵溯源分析
qq_69100706的博客
04-17 774
Web入侵的溯源分析是一个系统性的过程,涉及从攻击痕迹中收集证据、分析攻击手法、追踪攻击源头,并最终确定攻击者的身份和动机。
网页3D溯源
webGL的专栏
03-11 526
      早期的web3D技术非常不成熟,比如Java Applet实现的简单交互式三维动画,不仅需要下载一个巨大的支持环境,而且画面非常粗糙,性能也很差。究其原因,就在于早期的这些交互式三维动画在做图形渲染时,并没有直接利用到图形硬件本身所带的加速功能,也就是,即使安装了性能很高的显卡,对于Web页面的交互式三维动画的显示也起不了什么作用。  后来,Adobe的Flash Player浏览
网络安全溯源方法(Traceability Methods for Network Security)
最新发布
Linux运维老纪的博客
12-10 1061
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?本章将为您详细解析网络安全溯源方法。
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
2024年初级红队反溯源基础(1),网络安全后端社招面试经历
2401_84239625的博客
05-05 620
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
应对Web安全防护,溯源追踪攻击者。
2302_79706076的博客
07-03 869
随着时代的进行,互联网站走进千家万户,网络安全问题也逐渐提上日程,国家对网络安全也欲加重视。
web论文】追踪溯源
小张同学的博客
01-03 2479
追踪溯源就转换为如下一些问题的求解∶ 1.攻击技术手段、战术方法与人员的关系(手法是否相似); 2.攻击资源之间、同时与人员的相似性(电脑、工具、Payload、后门、服务器等); 3.攻击人员的社交网络画像(昵称、邮箱、手机号、IP等); 4.不同网络资源中挖掘不同线索的相似性; 5.个人与团队成员、归属等方面关系挖掘; Web追踪溯源技术: Cookie 追踪 浏览器指纹 跨浏览器追踪 跨设备追踪 Ip追踪 域名/dns追踪 GPS/GIS追踪 匿名网络追踪 攻击手法等方面溯源 开源情报分析 网络攻击追
Web技术溯源&进入微服务
衡与墨的博客
05-04 877
前言 说学微服务说了一年半了,一直都没有真的去做,我是要反思的。 其实微服务的基础理论、结构,思想和意义都已经了解的很熟悉了,所差的就是实际的应用学习。选择学习的目标是spring cloud。dubbo太大太繁杂,而且应用不如cloud广泛。从长远来看,spring cloud的发展空间也更大。 spring cloud构建微服务的基础是spring boot,要学习spring cloud之前...
作业6:Web 攻击溯源
diligent_lee的博客
07-20 904
信息安全实践作业6:Web 攻击溯源 事情情况: 某天晚上,X 单位的网站首页图片(banner_home.jpg)被胆大妄为的黑客 M 篡改了,管理员发现问题后第一时间关停了 Web 服务器,几天后提取了全部日志。(日志见另附件) 根据提供的日志进行分析得到以下内容: 黑客 M 篡改网站首页图片事件发生的日期是什么? 根据 log 文件,不难发现这是 Apache 日志,根据 Apache 访问日志格式可得,最后一个数字表示发送给客户端的总字节数。当网站首页图片被更改后,服务端发送给客户端的字节数应
okhttp溯源之工作流程
qq_23081779的博客
10-13 387
    okhttp是square公司推出的网络请求框架,已经逐渐成为android开发者的首选网络框架,我们从使用入手来分析一下okhttp的工作流程。     okhttp的使用: // 1.创建client对象 OkHttpClient client=new OkHttpClient(); // 2.创建请求request Request request=new Request.Bui...
国内外安全网站网址大集合
weixin_34278190的博客
04-15 4117
国内安全 http://security.zz.ha.cn/ 起点安全,有相当不错的原创内容 国内安全 http://www.shopsky.com/ flashsky的个人主页 国内安全 http://www.safechina.net 有较多原创内容的安全站 国内安...
安全网站推荐
那些年....的专栏
04-24 6539
网站推荐不一定全面,但能起到抛砖引玉的效果。 视野+圈子能够让你更加的了解这个世界。安全之路任重道远,仍需努力。 国内https://www.t00ls.net t00ls是国内比较低调的民间组织,论坛质量较高。 http://www.80vul.com 黑哥所在团队,博客内容质量很好。 http://worm.cc 我所在邪红色信息安全组织的不知名博客,不定期更新有趣的安全研究文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值