『安全科普』HTTP协议讲解及手工模拟发送
学习,熟悉HTTP协议,便于以后进行HTTP重放攻击!
0x 01 HTTP协议
查看HTTP协议
先查看鼠标点击一个链接后,浏览器发出了怎样的HTTP请求。
Chrome浏览器下,按F12进入开发者模式,点击Network后,在页面中随意点击链接测试,出现下图。
上面的news.baidu.com 就是点击新闻后发出的一条信息相关内容,在图中我们大致可以看到 有请求主机,IP地址,请求方式,以及返回的状态码(200)
HTTP请求介绍
http请求由三部分组成,请求行,请求头,请求主体。
下面给出一个实例:
1 POST /login.php HTTP/1.1 // 请求行 包含请求方法,请求地址,协议版本
2 HOST: www.XXX.com // 请求头
3 // 空一行,表示请求头结束
4 username=admin & password=admin // 请求正文 Cookie相关信息
请求方法中GET把请求信息直接标注在URL上,POST多用于提交数据,提交信息在后面的是请求正文中。
常见的请求头如下:
referer: 包含一个URL,用户从该URL代表的页面出发访问当前请求的页面
user-agent: 客户端将它的操作系统,浏览器,和其他属性告诉服务器
Host: 请求主机名和端口号,默认80
Connection: 当前连接是否保持
Accept-Language: 指定接受的自然语言
Cookie: 表示请求者身份
x-forword-for: 代表请求段IP,可以有多个,中间以逗号隔开
HTTP响应介绍
HTTP相应内容如下:
状态码:
1xx:指示信息--表示请求已接收,继续处理
2xx:成功--表示请求已被成功接收、理解、接受 (200成功)
3xx:重定向--要完成请求必须进行更进一步的操作 (302跳转)
4xx:客户端错误--请求有语法错误或请求无法实现 (404请求资源不存在)
5xx:服务器端错误--服务器未能实现合法的请求 (500 服务器内部错误)
常见HTTP响应头:
Server: WEB服务器名称 如:Server: Apache/1.3.6(Unix)
Content-Type: 正文媒体类型
Content-Length: 正文长度(字节)
Keep-Alive: 保持连接时间
Date: 格林时间
Location: 表示客户端应该到哪里去提取文档,当客户端收到后会再次发送请求
Set-Cookie: 向客户端设置Cookie信息
0x 02 手工模拟HTTP发送
没开启Telnet服务的同学手动百度一下 如何开启Telnet服务,这里不多说了
进入CMD界面开启telnet:
telnet www.baidu.com 80
显示空白黑屏界面,在键盘上同时按“Ctrl”键和“]”键,显示如下界面
欢迎使用 Microsoft Telnet Client Escape 字符为 'CTRL+]' Microsoft Telnet>
按“Enter”键 显示空白界面,输入HTTP请求(注意HOST: 后面有个空格)
GET /index.html HTTP/1.1
HOST: www.baidu.com
之后连续按两次“Enter”键,完成HTTP请求发送,显示如下信息
至此,已经成功完成HTTP发送模拟。
『安全科普』HTTP协议讲解及手工模拟发送的更多相关文章
- 『安全科普』WEB安全之渗透测试流程
熟悉渗透流程,攻击会像摆积木一样简单! 0x 01:信息收集 收集网站信息对渗透测试非常重要,收集到的信息往往会让你在渗透中获得意外惊喜. 1. 网站结构 可以使用扫描工具扫描目录,主要扫出网站管理员 ...
- 大数据分析常用去重算法分析『Bitmap 篇』
大数据分析常用去重算法分析『Bitmap 篇』 mp.weixin.qq.com 去重分析在企业日常分析中的使用频率非常高,如何在大数据场景下快速地进行去重分析一直是一大难点.在近期的 Apache ...
- 『Python进阶』专题汇总
基础知识 Python3内置函数 『Python』库安装 『流畅的Python』第1~4章_数据结构.编码 『Python』基础数据结构常见使用方法 『Python CoolBook』数据结构和算法_ ...
- 2017-2018-2 165X 『Java程序设计』课程 团队项目备选题目
2017-2018-2 165X 『Java程序设计』课程 团队项目备选题目 结合本课程时间安排,以及同学们的专业和课程内容,制定了以下六个题目供各小组选择.如有其他项目方案设想,可自行与老师沟通.老 ...
- 2017-2018-20172309 『Java程序设计』课程 结对编程练习_四则运算_第三周
2017-2018-20172309 『Java程序设计』课程 结对编程练习_四则运算 组队成员: 仇夏 学号: 20172310 博客地址: @王志伟 四则运算第一周博客 @仇夏四则运算第一周博客 ...
- 2017-2018-2 1723 『Java程序设计』课程 结对编程练习-四则运算-准备阶段
2017-2018-2 1723 『Java程序设计』课程 结对编程练习-四则运算-准备阶段 在一个人孤身奋斗了将近半个学期以后,终于迎来的我们的第一次团队协作共同编码,也就是,我们的第一个结对编程练 ...
- 『深度应用』NLP机器翻译深度学习实战课程·壹(RNN base)
深度学习用的有一年多了,最近开始NLP自然处理方面的研发.刚好趁着这个机会写一系列NLP机器翻译深度学习实战课程. 本系列课程将从原理讲解与数据处理深入到如何动手实践与应用部署,将包括以下内容:(更新 ...
- 阅读手札 | 手把手带你探索『图解 HTTP』
前言 本文已经收录到我的 Github 个人博客,欢迎大佬们光临寒舍: 我的 Github 博客 学习清单: 一.网络基础 TCP/IP 通常使用的网络(包括互联网)是在 TCP/IP 协议族的基础上 ...
- Istio 运维实战系列(2):让人头大的『无头服务』-上
本系列文章将介绍用户从 Spring Cloud,Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验,以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法. 什么是『无头服 ...
随机推荐
- cf498C Array and Operations
C. Array and Operations time limit per test 1 second memory limit per test 256 megabytes input stand ...
- JAVA 面试整理,面试汇总
1.JAVA是通过重写和重载来实现多态性的. 重写:同样的方法签名,不同的方法实现 重载:同样的方法名,不同的参数类型或参数个数 2.JAVA中如果存在不再使用的对象,但是程序又持有该对象的引用,就会 ...
- Centos6 下启动httpd报错 Could not reliably determine the server's解决方法
在启动httpd的时候报错: 修改/etc/httpd/conf/httpd.conf 配置,去掉ServerName 前的#(或者手动添加ServerName localhost:80)然后重启ht ...
- Horizontal,vertical,Input_Mouse,Input_Key
鼠标获取 using UnityEngine; using System.Collections; public class Input_Mouse : MonoBehaviour { void Up ...
- P2P/WSN信任建模与仿真平台
1.ART Testbed 该平台是基于多代理的信任仿真平台,官网的介绍如下: The Agent Reputation and Trust (ART) Testbed initiative has ...
- Android Game
收起相关游戏 cytus 机械迷城 小小炼狱 deemo 神庙逃离 现代战争4零点行动 植物大战僵尸2中文版 时空幻境 无尽之剑3 超级救火队 迷你冲撞 大战僵尸鸟 侍魂2 flappy bird 混 ...
- RIP协议两个版本号对不连续子网的支持情况实验
(增加时注明"会员咨询")
- centos7启动时出现“无法应用原保存的显示器配置”
设置了分辨率后,登录提示“出现无法应用原保存的显示器配置”. 解决办法: 打开终端,输入 rm ~/.config/monitors.xml 然后重新登录, 问题解决.
- jquery 中ajax的参数
url: 要求为String类型的参数,(默认为当前页地址)发送请求的地址. type: 要求为String类型的参数,请求方式(post或get)默认为get.注意其他http请求方法,例如put和 ...
- IE9的window.showmodaldialog显示问题
<html xmlns="http://www.w3.org/1999/xhtml"> <head id="Head1" runat=&quo ...