Web安全-HTTP协议
关注
分享
扫一扫
该专栏主要记录日常HTTP协议知识
the zl
喜欢技术,热爱技术,作为小白,博客旨在记录学习过程,文章争取按照简单,认真思考总结后的方式展示,一起学习,一起记录!
展开
-
HTTP协议—无状态性&会话管理
HTTP协议的无状态性:无状态性:既每次服务端接受到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录,例如某用户已经访问了网站A,但是想访问网站A的另外一个页面,此时因为HTTP协议的无状态性,所以访问B页面需要重新登陆。无状态性导致的问题:好处:服务端不需要记录客户端的行为,可以节省性能,提高服务端的并发。坏处:用户登陆后,切换到其他页面操作时,服务端无法判断是哪个用户登陆的,需要每次跳转的时候,都需要重新登陆,这里弊大于利。无状态性解决方式:引入Cookie和Sessi原创 2022-02-23 20:58:07 · 296 阅读 · 0 评论 -
HTTP协议-GET和POST请求方法的区别
GET和POST请求方法的区别提要:在http协议中,get请求和post请求是最常见的请求方法,使用的场景和区别也不相同。1,请求数据存储位置不同。GET方法请求数据存在于URL中,POST方法请求请求数据存在于BODY主体中,所以GET方法没有请求主体GET:POST:2,安全性不同。因为数据存储的位置,POST相比GET更安全,主要原因还是因为请求数据的存放位置,GET在URL中,POST在BODY中。3,请求数据大小不同。同时因为URL的限制,GET请求的数据存在大小限制(一般为2-原创 2022-02-22 23:17:06 · 5693 阅读 · 0 评论 -
Web安全—HTTP协议报文
HTTP协议提要:在Web安全中,HTTP协议的重要程度不言而喻,Web应用层都是通过HTTP协议或HTTPS协议进行通信的,文章主要记录部分知识点,详细请查看HTTP报文这篇文章HTTP协议组成状态行请求行响应行首部请求头响应头主体常见请求方法对比:HEAD:响应包不会返回响应主体,只会返回响应首部,通常作用为探测某个资源是否存在或是否被修改GET:GET请求方法和HEAD请求方法相似,但是GET没有请求主体,请求主体通常存放在URL中,以查询字符串的形式存在,多个查询字原创 2022-02-16 22:13:09 · 1559 阅读 · 0 评论 -
Web安全—CSRF(Token)
CSRF之TokenToken:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中Token作用:1,防止表单重复提交服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新2,防止CSRF(跨站请求攻击)举例:构造的CSRF,因为Token的原因,所以攻击失败Token产生过程:当客户端请求服务端页面时,服务端会生成一个随机数Token存放在Session中,同时也会将sessio原创 2022-02-14 20:57:19 · 3986 阅读 · 0 评论 -
Web安全—有效载荷Payload
有效载荷—Payload提要:在Web安全的学习过程中,通常会提到Payload这个词,但是这个在安全中代表什么含义。简介:Payload直接可以翻译为"有效载荷",其含义可以理解为数据包中的"有效数据"。Payload理解总结:协议角度分析:一个完整的数据传输过程中通常由三部分组成,分别是数据头部+原始数据(数据帧或数据包+校验尾部),数据头和校验尾部是为了原始数据的准确传输起作用,那么其中的原始数据就是我们通常说的Payload。IPV4协议数据包结构举例:BurpSuite中Paylo原创 2022-02-12 22:49:16 · 5628 阅读 · 0 评论 -
Web安全—Web框架组成和各部分作用(持续更新)
Web框架组成和各部分作用:提要:了解Web框架的组成和作用有助于了解学习Web安全漏洞的原理和通信过程。一:Web框架组成1,显示层(浏览器,前端语言)作用:解析前端语言显示和展示给用户想看到的内容。2,业务逻辑层(后端脚本语言,操作系统,Web容器)作用:逻辑,解析用户请求,加载并执行脚本语言。3,数据访问层(数据库)**作用:**数据存储和执行SQL语句。Web访问流程(使用靶场XSS-LABS举例):第1步:Web浏览器输入目标网站的URL(请求URL中的文件level等),浏原创 2022-02-03 22:49:00 · 2372 阅读 · 0 评论 -
Web安全—Web应用基础通信过程(持续更新)
Web应用应用基础—数据流通信过程**场景:**当你从开始在浏览器输入网站名称/网址(URL)到浏览器显示出你需要看到内容的时候,这个过程是怎么实现的呢,了解整个通信过程有利于学习Web安全中漏洞原理的理解。大致过程:第一步:浏览器通过DNS服务器将域名解析为 IP 地址(这里涉及到 DNS 域名解析技术)第二步:浏览器根据源目 IP 地址等信息封装 HTTP 请求包发送给目标网站(这里涉及到 HTTP/HTTPs 通信协议)第三步:目标网站收到 HTTP 请求并解析,根据请求调用数据库并返回资源原创 2022-02-03 21:47:13 · 1661 阅读 · 0 评论 -
HTTP协议—x-forwarded-for&x-real-ip
HTTP协议—x-forwarded-for&x-real-ip字段提要:Web安全中,通常会需要查看HTTP数据包判断客户端攻击IP,如果客户端进行了代理设置,HTTP协议中查看到的源IP地址将会是代理的地址,不是真实的客户端地址,此时便可以通过HTTP协议中的x-forwarded-for字段和x-real-ip来进行判断。x-forwarded-for:主要用于记录代理IP,记录从客户端地址到最后一个代理服务器的所有地址x-real-ip:仅记录真实客户端IP地址举例:客户端0.0.0原创 2022-01-16 12:58:51 · 4614 阅读 · 0 评论 -
Web安全-Cookie&Session(持续更新)
Cookie和Session:在XSS(跨站脚本攻击中)通常Cookie和Session被使用在其中。Cookie攻击:Cookie窃取(利用难度较低)Session攻击:会话劫持(利用难度较高)作用:Cookie和Session都是用于客户端和服务端通信的凭证,都是服务端用来判断客户端身份信息的凭证Cookie和Session的区别:Cookie:存储在用户浏览器本地,存活时间较长(通常作用于中小型企业),实现起来较容易。Session:存储在服务端(会占用服务端资源),存活时间较短(通常原创 2022-01-16 12:04:42 · 1376 阅读 · 0 评论