某大学某实验第一次作业

一，了解Http和Https协议

1.什么是http？

HTTP（超文本传输协议）是一种客户端到服务器端的请求响应协议，它通常运行在TCP之上。这个协议定义了客户端可以发送什么样的消息给服务器以及服务器返回的响应消息。HTTP请求和响应的头部信息是以ASCII格式给出的，而消息内容则具有类似MIME的格式。HTTP是分布式、协作式和超媒体信息系统的应用层协议，是万维网（WWW）数据通信的基础。

2.http的特点

无状态协议：服务器不保留与客户交易时的任何状态，这减轻了服务器的记忆负担，保持较快的响应速度。

面向对象：HTTP允许传送任意类型的数据对象，通过数据类型和长度来标识所传送的数据内容和大小，并允许对数据进行压缩传送。

3.http的发展

HTTP的发展经历了多个阶段，从最初的HTTP/0.9，到现在广泛使用的HTTP/1.1，再到现代的HTTP/2和HTTP/3。每个版本都在性能、安全性和功能上有所增强。例如，HTTP/1.1引入了持久连接和管道化技术，减少了请求延迟；HTTP/2进一步引入了帧和多路复用，提高了传输效率。

4.http的应用场景

HTTP最初主要应用于Web端内容获取，随着互联网的发展，更多的内容开始被展示，排版变得更精美，更复杂的交互也被引入。今天，HTTP不仅用于传统的网页浏览，还广泛应用于移动互联网的客户端app，如电商、社交媒体、在线服务等。

二.了解get和post传参

1.什么是get和post传参？

在 HTTP 协议中，GET 和 POST 是两种最常用的请求方法。它们在传递参数和使用场景上有一些显著的区别。

A.get请求

GET 请求的特点包括：

• 可缓存：GET 请求可以被缓存。

• 可收藏为书签：GET 请求的 URL 可以被收藏为书签。

• 长度限制：GET 请求的 URL 长度有限制，通常为 2048 个字符。

• 不安全：由于参数在 URL 中可见，GET 请求不适合传输敏感数据

B.post请求

POST 请求的特点包括：

• 不会被缓存：POST 请求不会被缓存。

• 不会保留在浏览器历史记录中：POST 请求的参数不会保存在浏览器历史记录中。

• 无长度限制：POST 请求对数据长度没有限制，可以传输大量数据。

• 更安全：由于参数不在 URL 中，POST 请求更适合传输敏感数据。

三，安装burpsuite

1.什么是burpsuite？

Burp Suite 是一款功能强大的 Web 应用安全测试工具，主要用于渗透测试和漏洞挖掘。它由 Java 编写，具有跨平台特性，支持手动配置和自动化流程，广泛应用于网络安全领域。

核心功能

Burp Suite 提供了多个模块，每个模块都有特定的用途：

• Proxy：拦截和修改 HTTP/HTTPS 流量，支持中间人攻击模拟。

• Spider：自动爬取目标网站的结构和内容。

• Repeater：重复发送和修改请求，便于测试不同参数的效果。

• Intruder：用于暴力破解和参数枚举，支持多种攻击模式。

• Decoder：对数据进行编码、解码和散列转换。

• Extender：支持插件扩展，增强功能。

2.安装过程

浏览器寻找官网https://portswigger.net/burp

下载

3.使用其进行抓包

打开kalilinux虚拟机

在终端输入burpsuite

安装ca证书

抓包

四，了解一下数据包的结构、

1.什么是数据包？

数据包是网络通信中的基本组成部分，它定义了在网络上传输数据时的组织方式和格式

2.了解其组成

头部，数据部分，尾部

3.安装wireshark

Wireshark • Go Deep官网下载wireshark

五，BUUCTF -> Web [极客大挑战 2019]Http

进入给予的网址

查看其源代码

发现可疑的php文件

打开发现

进行抓包

先改Referer:https://Sycsecret.buuoj.cn

再改

X-Forwarded-For: 127.0.0.1

五，buu brute 1 1

Burp抓包

单独抓包时回显仅用户名错误，考虑先爆破用户名。

添加数据包中账号密码，再发送到intruder

在位置板块选择攻击类型：攻击手。对username添加payload位置