本文介绍了HTTP协议的基本概念,包括GET、POST和HEAD请求,接着通过Burp Suite演示了如何利用HTTP头部字段绕过安全限制,如修改referer、User-Agent和x-forwarded-for,以及利用cookie字段内容实现权限提升,从而在渗透测试中获取flag。
ttp协议 - 常见渗透测试姿势
工具: Burp Suite 汉化版
HTTP是什么
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。
HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。
HTTP是一个客户端终端(用户)和服务器端(网站)请求和应答的标准(TCP)。通过使用网页浏览器、网络爬虫或者其它的工具,客户端发起一个HTTP请求到服务器上指定端口(默认端口为80)。我们称这个客户端为用户代理程序(user agent)。应答的服务器上存储着一些资源,比如HTML文件和图像。我们称这个应答服务器为源服务器(origin server)。在用户代理和源服务器中间可能存在多个“中间层”,比如代理服务器、网关或者隧道(tunnel)。
这里不过多阐述,想深入了解HTTP的可以按照如下图进行学习
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
