不常用的访问控制方式——http auth

最新推荐文章于 2024-08-24 08:07:07 发布
最新推荐文章于 2024-08-24 08:07:07 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39194641/article/details/92612327
本文介绍了HTTP Auth方式的访问控制,包括访问页面时的用户名与密码验证、使用ncrack和dirb进行爆破的方法。详细说明了HTTP Auth的过程,以及一次实际访问的流程。还指出HTTP Auth在路由器等场合有应用,且WVS有相关爆破模块待添加。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    今天遇到一个http auth方式的访问控制,访问页面时出现输入用户名与密码的验证:

    使用ncrack爆破登陆后,当想要爆破目录时,必须每次请求都带着authorication头,使用dirb -H '头爆破'

 

    Authorication头形如:Authorization: Basic YWRtaW46YWRtaW4= ,Authorization: "Basic 用户名和密码的base64加密字符串" 

    http auth的过程如下:

客户端发送http请求服务器发现配置了http auth,于是检查request里面有没有"Authorization"的http header
如果有,则判断Authorization里面的内容是否在用户列表里面,Authorization header的典型数据为"Authorization: Basic HY0=",其中Basic表示基础认证,HY0=是base64编码的"user:passwd"字符串。如果没有,或者用户密码不对,则返回http code 401页面给客户端。浏览器在收到401页面之后,弹出一个对话框让用户输入帐号密码;并在用户点确认的时候再次发出请求并带上Authorization header

    一次实际访问过程是如下:

  • 第一次发送http无Authorication头的请求
  • 服务器端返回401页面
  • 前端弹出认证对话框
  • 用户输入帐号密码,并点确认
  • 发出带着Authorization的request
  • 服务器端认证通过,并返回页面

注:使用http auth时不会用cookie,http auth现在用的并不多。不过在路由器等场合还是有所应用的,因为http auth最简单,使用起来几乎是零成本。在做访问控制,不想使用SSO、数据库之类的东西的时候,http auth为一个简洁的选项。

WVS也有一个modle爆破auth,后续添加进去。

【ESP 保姆级教程】玩转emqx认证篇⑤ ——使用 HTTP 的密码认证
单片机菜鸟哥的博客
02-01 1274
使用 HTTP 的密码认证的前提最好是已有的用户体系,然后在这个基础上加上关系映射即可。这种方式的好处相比 使用内置数据库(Mnesia)的密码认证 5. ESP8266 测试 就是如果我删掉了配置,用户数据还是保留下来的。
43.Django权限系统auth模块详解
热门推荐
孤寒者的博客
09-10 2万+
43.Django权限系统auth模块详解
HTTP Auth认证请求(附代理)-Postman篇
BugRoot的博客
08-03 1万+
Postman-win64-7.0.7 正常Webservice请求,Content-Type只需要填写此值即可,如下例子1 -------例子1start --------例子1end 如需开启代理 如需要开启就勾选,并填写相关信息 如需要就取消勾选
HTTP Auth
小田的笔记簿
11-23 722
文章目录关于 HTTP Auth1、session2、authorizationhttp header2.1 Basic 形式2.2 Bearer 类型 (token) 参考资源 free-coder:【web】权限认证的常见方式 https://www.bilibili.com/video/av74292592?from=search&seid=168323190858724...
HTTP AUTH验证
李余通的博客
11-27 1万+
何为http auth?http auth是一种基础的用户验证,原理是将用户名:密码base64加密后放在http的请求头部Authorization 发给服务器。浏览器的做法当你访问一个需要http auth验证的资源时,web server会去检查你的http请求头并且比对帐号密码,如果成功就会相应的所请求的资源,否则就会返回401,浏览器在接收到401时会自动打开一个登陆窗口让你登陆,点击提
HTTP Authentication(HTTP认证)
张花生的博客
09-20 1万+
HTTP协议规范中有两种认证方式,一种是Basic认证,另外一种是Digest认证,这两种方式都属于无状态认证方式,所谓无状态即服务端都会在会话中记录相关信息,客户端每次访问都需要将用户名和密码放置报文一同发送给服务端,但这并表示你在浏览器中每次访问都要自己输入用户名和密码,可能是你第一次输入账号后浏览器就保留在内存中供后面的交互使用。 BASIC基本认证 概述 ...
HTTP Auth开源项目安装与使用指南
最新发布
gitblog_00111的博客
08-24 758
HTTP Auth开源项目安装与使用指南 一、项目目录结构及介绍 此开源项目https://github.com/gevorg/http-auth.git主要实现HTTP基本认证功能。以下是其基本的目录结构及其简要说明: . ├── LICENSE # 许可证文件 ├── README.md # 项目简介和快速入门文档 ├── auth # 存放认证相关代码或模块 ...
Aruba无线控制器配置——基于MAC地址认证的网络
04-21
其中,基于MAC地址的认证是一种常用的接入控制方法,它通过检查设备的MAC地址来确定其是否具有访问网络资源的权限。本文将详细介绍如何在Aruba无线控制器上配置基于MAC地址认证的网络。 #### 二、关键配置步骤详解 ...
Spring Security框架——安全访问控制解决方案
3. **安全方法**:Spring Security支持通过注解来控制方法级别的安全性,常用的注解包括@PreAuthorize、@PostAuthorize、@Secured等。 4. **OAuth2**:Spring Security提供了OAuth2的支持,OAuth2是一种开放标准的...
HAProxy(2)——acl访问控制、动静分离、读写分离、haproxy+keepalived实现高可用
qq_45225437的博客
08-10 940
文章目录一、ACL1. acl概述2. acl配置2.1 基于IP地址的访问控制2.2 七层请求的访问控制2.3 动静分离2.4 读写分离 一、ACL 1. acl概述         haproxy的ACL用于实现基于请求报文的首部、响应报文的内容或其他的环境状态信息来做出转发决策,这大大增加了其配置弹性。其配置法则一般分为两部,首先定义ACL,既定义一个测试条件,而后在条件得到满足时执行某特定动作,如阻止访问或者转发至某特定
HTTP AUTH 那些事
weixin_30471561的博客
02-13 737
谨以此文献给那些需要实现HTTP AUTH的“程序猿”们。关于HTTP AUTH的文档多。RFC在 http://www.ietf.org/rfc/rfc2617.txtwiki在 http://en.wikipedia.org/wiki/Basic_access_authentication使用HTTP AUTH需要在server端配置http auth信息(一般是webserver启动的...
HTTP认证之基本认证
Ghosind
10-30 2506
简单介绍HTTP协议中的基本认证(Basic Authentication)。
HTTP Auth认证请求(附代理)-代码篇
BugRoot的博客
08-03 1万+
2种方式 方式一:Http请求头上添加Basic Authentication认证 // httpPost httpPost.addHeader(“Authorization”, "Basic " + Base64.encodeBase64String(“username:password”.getBytes())); // httpConnection httpConn.setRequestProperty(“Authorization”, "Basic " + Base64.encodeBase64St
Http auth认证的两种方式Basic方式和 Digest认证
Virgil_K2017的博客
06-17 1万+
一、Http Base Auth 方式 当访问一个Http Basic Auth 网站的时候需要提供用户名,密码,否则会返回401 (without authoration)。 Http Basic Authentication认证 有2种方式: 1、请求头部Authorization 中添加 用户名/密码 的base64 编码字符串。 2、url中拼用户名和密码。 市面上大部分浏览器支持url...
Kurl——轻量化http-authentication在线暴破工具
南迪叶先森
07-08 572
公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 0x00:背景 HTTP认证(HTTP-Authentication,后文统称http-auth)是一种标准化的HTTP安全加固方法(RFC 7235等),虽然怎么常用,因为WEB服务器的页面通常情况下都采用匿名认证方式,即允许所有人访问(如果服务器或者防火墙没有进行IP限制)。与其他基于密码的身份认证方式一样(如果未引入其它认证因子),http-auth同样存在无法核实用户是否为真实可信的用户。虽然http-auth技术并常用.
Http协议基础之HTTP响应首部字段
qq402164452的博客
06-10 899
响应首部字段响应首部字段是由服务器端向客户端返回响应报文中所使用的字段,用于补充响应的附加信息、服务器信息,以及对客户端的附加要求等信息。Accept-Ranges Accept-Ranges: bytes 首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求,以指定获取服务器端某个部分的资源。可指定的字段值有两种,可处理范围请求时指定其为 bytes,反之则指定其为
攻防世界 web入门题 weak_auth密码爆破(python密码爆破)
weixin_45774059的博客
06-03 285
用爆破出来的4个密码登录就可以得到flag
httpbasic 认证方式
wang0907的博客
04-28 7939
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
http报错之return error code:401 unauthorized
wanhui2010的博客
11-15 1万+
 http报错之return error code:401 unauthorized 根据HTTP返回码所表示的意思应该是未授权,没有输入账号和密码,因此解决方法就直接在HTTP包里面携带密码。 先利用shell产生user and password 的base64编码 将账号为admin,密码为admin的信息经base64编码为YWRtaW46YWRtaW4=。 $ echo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值