-
Notifications
You must be signed in to change notification settings - Fork 23
/
课时70 HTTP协议基础.txt
executable file
·85 lines (62 loc) · 3.45 KB
/
课时70 HTTP协议基础.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
课时70 HTTP协议基础
╋━━━━━━━━━━━━━━━╋
┃WEB技术发展 ┃
┃静态WEB ┃
┃动态WEB ┃
┃ 应用程序 ┃
┃ 数据库 ┃
┃ 每人看到的内容不同 ┃
┃ 根据用户输入返回不同结果 ┃
┃ ┃
┃ ┃
┃Web攻击类型有数百种 ┃
┃ 本课程只介绍典型的几种 ┃
╋━━━━━━━━━━━━━━━╋
╋━━━━━━━━━╋
┃WEB攻击面 ┃
┃Network ┃
┃OS ┃
┃WEB Server ┃
┃App server ┃
┃Web Applicaiton ┃
┃Database ┃
┃Browser ┃
╋━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃HTTP协议基础 ┃
┃明文 ┃
┃ 无内建的机密性安全机制 ┃
┃ 嗅探或代理截断可查看全部明文信息 ┃
┃ https只能提高传输层安全 ┃
┃无状态 ┃
┃ 每一次客户端和服务器端的通信都是独立的过程 ┃
┃ WEB应用需要跟踪客户端会话(多步通信) ┃
┃ 不使用cookie的应用,客户端每次请求都要重新身份验证(不现实)┃
┃ Session用于在用户身份验证后跟踪用户行为轨迹 ┃
┃ 提高用户体验,单增加了攻击向量 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃HTTP协议基础 ┃
┃Cycle ┃
┃ 请求/响应 ┃
┃重要的header ┃
┃ Set-Cookie:服务器发给客户端的SessionID(被窃取的风险) ┃
┃ Content-Length:响应body部分的字节长度 ┃
┃ Location:重定向用户到另一个页面,可识别身份认证后允许访问的页面 ┃
┃ Cookie:客户端发挥给服务器证明用户状态的信息(头:值成对出现) ┃
┃ Referrer:发起新请求之前用户位于哪个页面,服务器基于此头的安全限制 ┃
┃ 很容易被修改绕过 ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋
┃HTTP协议基础-----状态码 ┃
┃服务端响应的状态码表示响应的结果类型(5大类50多个具体响应码) ┃
┃100s: 服务器响应的信息,通常表示服务器还有后续处理,很少出现 ┃
┃200s: 请求被服务器成功接受并处理后返回的响应结果 ┃
┃300s: 重定向,通常在身份认证成功后重定向到一个安全页面(301/302))┃
┃400s: 表示客户端请求错误 ┃
┃ 401: 需要身份验证 ┃
┃ 403: 拒绝访问 ┃
┃ 404: 目标未发现 ┃
┃500s: 服务器内部错误(503: 服务不可用) ┃
┃http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html ┃
╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋