渗透测试系列:http协议 - 常见渗透测试姿势

已于 2023-12-09 17:31:21 修改
阅读量943 收藏 17
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: http 网络协议 网络
于 2023-12-09 17:29:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54626591/article/details/134896226
网络安全 专栏收录该内容
218 篇文章 ¥299.90 ¥399.90
订阅专栏
本文介绍了HTTP协议的基本概念,包括GET、POST和HEAD请求,接着通过Burp Suite演示了如何利用HTTP头部字段绕过安全限制,如修改referer、User-Agent和x-forwarded-for,以及利用cookie字段内容实现权限提升,从而在渗透测试中获取flag。

ttp协议 - 常见渗透测试姿势



工具: Burp Suite 汉化版

HTTP是什么

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。

HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。

HTTP是一个客户端终端(用户)和服务器端(网站)请求和应答的标准(TCP)。通过使用网页浏览器、网络爬虫或者其它的工具,客户端发起一个HTTP请求到服务器上指定端口(默认端口为80)。我们称这个客户端为用户代理程序(user agent)。应答的服务器上存储着一些资源,比如HTML文件和图像。我们称这个应答服务器为源服务器(origin server)。在用户代理和源服务器中间可能存在多个“中间层”,比如代理服务器、网关或者隧道(tunnel)。

这里不过多阐述,想深入了解HTTP的可以按照如下图进行学习

在这里插入图片描述

GET 请求

浏览器

了解本专栏 订阅专栏 解锁全文
渗透测试(14)- HTTP协议解析
fanmeng2008的博客
01-18 1254
HTTP(HyperText Transfer Protocol)即超文本传输协议,是一种详细规定了浏览器和服务器之间互相通信的规则,它是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从Web 服务器传送到Web 浏览器,用于客户端和服务器之间的通信。
渗透测试基础-Head注入
学习、分享、交流
05-16 1021
前提:目标网址会记录你的一些head信息,放进数据库,那么只要放进数据库,就说明与数据库产生了交互。 --> 可能就存在数据库注入漏洞。
web渗透测试中WAF绕过讲解(二)基于HTTP协议绕过
ZDH5362的博客
08-20 704
0x01 前言 在讲本课的内容之前我们先来了解互联网中的HTTP是什么? 超文本传输协议HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过...
实施渗透测试的重要HTTP方法
weixin_34197488的博客
07-03 334
如果你没有积极地参与Web应用程序开发,几乎就不可能了解HTTP协议的内部工作机理,也几乎没有机会知道Web应用程序与数据库进行交互的不同方法,也无法真正知道,当用户点击了一个链接或在浏览器的URL中键入字符时会发生什么。 如果你以前并没有编程技能,也没有积极地参与Web应用程序的开发,就不可能有效地执行渗透测试。作为渗透测试人员,你需要Web应用程序和...
WEBSHELL姿势之不安全的HTTP方法(渗透实验)
forbidd3n,keep going
10-25 4615
前言 Web服务器(以IIS为例)在没有任何设置是,使用OPTIONS命令,可以返回所有能够响应的HTTP方法,如OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK。 实验要求 任务:获取目标机上的两个文件(key1.txt和key2.txt),在C盘的根目录下存储有两个敏感文件(key1.txt,key2.
http协议 - 常见渗透测试姿势
HAKUNAMATATATTA的博客
11-03 452
http协议常见渗透测试姿势
手把手教你渗透测试(一)----信息收集
xianyu9w的博客
11-14 2619
正所谓:知己知彼,百战不殆。在进行渗透测试之前,最重要的也是必须的一步就是信息收集。在这个阶段,我们要尽最大可能的收集目标站点的相关信息。越是详细的了解目标,我们的渗透过程也就会越容易。小孩子才做选择,和目标相关的我都要! 信息收集阶段的主要目标包括,服务器的配置信息和网站的敏感信息。具体来说就是:域名及子域名信息、CMS指纹、目标网站系统、目标网站真实IP、开放的端口等,在挖洞的过程中,有可能目标站点使用的通用建站系统,直接就可以批量get了。 1.域名信息 在拿到一个网站后,我们第一步就是要获取域名.
小白日记20:kali渗透测试之后渗透测试阶段(一)--上传工具
ZiXuanFY的博客
09-22 5180
渗透测试阶段--上传工具 为防止管理员将漏洞补上后,我们无法再通过该漏洞控制对方主机,所以需要进行后渗透测试阶段 1、上传各种工具 2、提权:为了全面控制目标系统 3、擦除攻击痕迹:防止管理员通过日志溯源追踪,发现攻击源头【除了系统日记,应用程序也会有自己的日志信息】 ##删除系统日记和应用程序日记 例如:SLmail中 4、安装后门程序
渗透测试面试题总结
热门推荐
0x536d72的博客
11-25 4万+
渗透测试常见面试题
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 6533
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
2025年渗透测试面试题总结-攻防研究员(应用安全)(题目+回答)
soc的博客
06-18 876
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题
qq_51577576的博客
11-29 1858
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞SSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
渗透测试需要学习那些网络协议
10-06
2. HTTP协议常见渗透测试技巧有哪些? 3. ARP欺骗的工作原理是什么? 确保语言专业、清晰。 </think>### 渗透测试需要学习的网络协议 渗透测试(Penetration Testing)是一种安全评估方法,用于识别系统的潜在...
CCF-CSP第39次认证第三题——HTTP 头信息(HPACK)【C++】
最新发布
2301_79799657的博客
12-06 903
TUOJ。
解锁HTTP方法奥秘:GET与POST的深度探索与实战演示
祯的博客
12-05 742
本文全面解析了HTTP协议中的常见方法,特别是GET与POST两大核心方法。首先概述了HTTP方法的基本概念,随后深入剖析了GET与POST的用途、传参方式、参数容量及私密性差异。通过Postman工具和TCP套接字编程,直观演示了两者在参数传递上的不同表现。GET方法通过URL传参,适合非敏感数据的获取;POST方法则通过请求正文传参,适用于敏感或大量数据的提交。文章还总结了其他HTTP方法如PUT、HEAD、DELETE等的特性,并给出了实际应用建议。
http和rpc的区别
qq_52531977的博客
12-02 809
摘要: HTTP是通用的应用层协议,基于文本协议(如JSON)和标准格式,适合跨平台、对外接口等场景,但性能较低;RPC是远程调用框架,采用二进制协议和高效序列化,优化了传输效率和服务治理,适合内部微服务高频调用。核心区别在于设计目标——HTTP注重通用性,RPC追求性能与易用性。实际选型需结合场景:对外服务用HTTP(如RESTful API),内部高性能交互用RPC(如Dubbo/gRPC)。HTTP/2和gRPC等技术的出现缩小了性能差距,但RPC在服务治理和调用体验上仍有优势。
常用 HTTP 状态码汇总
2502_91292282的博客
12-02 516
常用 HTTP 状态码汇总
【MicroPython编程-ESP32篇】-HTTP GET/POST请求
视觉与物联智能
12-03 49
本文介绍了如何在MicroPython中使用urequests模块执行HTTP GET和POST请求。通过连接WiFi网络后,开发者可以调用urequests.get()方法获取JSON格式的API响应数据,并通过text/json属性访问内容。文章还演示了POST请求的实现方式,向测试API发送数据并解析响应结果。示例代码展示了获取状态码、响应内容等关键操作,为物联网设备与Web服务交互提供了实用指导。
Solon AI 开发学习6- chat- 两种http 流式输入输出
weixin_67022862的博客
12-03 596
http 流式输出(主要是指文本流式输出),需要使用响应式接口和支持流输出的 mime 声明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值