Análisis del proceso de solicitud web y método http
(Debido a que la composición tipográfica anterior es demasiado mala, y el editor de texto enriquecido utilizado, el efecto final no es bueno, se tomó el tiempo para reorganizarlo, este encabezado de información es demasiado difícil de recordar jaja, recientemente para reducir la ingesta de nuevos conocimientos, ponga el resumen Tengo que revisarlos todos, pero aún tengo que aprender un punto sólido. Recientemente, he leído algunas preguntas de la entrevista. Esta es la base, como el significado de los códigos de estado en este artículo).
solicitud y respuesta http
Protocolo de transferencia de hipertexto HTTP
是今天所有WEB应用程序使用的通信协议
使用一种用于消息的模型:客户端发出一条请求,服务端返回一条相应消息,该协议基本不需要连接,虽然HTTP使用有状态的TCP协议作为他的传输机制,但是每次请求与响应都会自动完成,并且有可能使用不同的TCP连接
Solicitar encabezado de mensaje
La página GET + solicita el contenido de esta página
o POST significa enviar
La versión
1.1 del protocolo HTTP / 1.1 debe usar el encabezado de solicitud de host
HOST + nombre de dominio o dirección IP
Conectar cerrar o mantener cerca es mejor
. Después de obtener los datos, el servidor se desconecta del cliente para cerrar
el número de usuarios. Hay un problema.
Cache-Control
para los comandos de transmisión a la caché del navegador
si no hay no-cache fue
otra es tener
Solicitudes de actualización segura: 1 se
utiliza para actualizar automáticamente las solicitudes de HTTP a HTTPS, lo que desempeña un papel de transición y resuelve problemas de seguridad. Las
contraseñas de las cuentas de contenido están encriptadas y las capturas de paquetes son paquetes de datos encriptados
Use-Agent
indica que la versión del kernel del sistema operativo local, el navegador y otra información
pueden tener Mozilla, debido a las sobras históricas del navegador
Aceptar
soportes navegador expresadas el tipo MIME
si * / * expresado su apoyo a cualquier tipo
de orden de prioridad de izquierda a derecha
si el servidor no es el tipo de necesidades de los clientes, 406 de error
0.8 no es seguido por cualquier tipo puede ser
Clasificación de tipo MIME
Texto: utilizado para estandarizar la información de texto, los mensajes de texto pueden ser conjuntos de caracteres múltiples o formatear
texto / html: indica
aprobación de documento html : indica transmisión de datos de aplicación o aplicación de datos binarios
/ xhtml + xml
indica
aplicación de documento xhtml / xml
Documento xml
Consulte
la página de inicio antes de la página de destino.
Anti-descarga, robar
enlace puede determinar enlaces ilegales
Campo de compresión ACCEPT-Encoding , lo que significa que la página solicitada está comprimida,
mostrando buenos resultados y
la presión del servidor
ACEPTAR-Idioma de
prioridad idioma
zh-cn chino simplificado
zh chino
de 0 a 1 prioridad de pequeño a grande, 0 no se acepta
Utilizado
al iniciar sesión en cookies , el contenido de información del usuario puede existir en cookies locales
x_FORWARDED_FOR
se utiliza para identificar la conexión a uno de la dirección IP original la mayor parte de cabecera de las peticiones HTTP del lado del cliente del servidor Web mediante proxy o balanceo de carga métodos
para romper a través de Ali y así sucesivamente WARF
agregar 127.0.0.1, que pretende ser el acceso local, no será bloqueada
La autorización
es una autenticación HTTP incorporada para enviar un certificado al servidor
Origen
indica el dominio solicitado
Encabezado de respuesta
http / 1.1 200 ok
se puede acceder
Modelo de servidor
La
fecha de los datos está
relacionada con el caché y no está sincronizada
Solicitud de tipo de conexión y tipo de devolución, y formato de codificación
Caduca
controla el tiempo de caducidad de la memoria caché, lo que indica que el contenido de la respuesta ha expirado
Pragmar se
usa para enviar instrucciones de caché al navegador, instruyendo al navegador para que no guarde la respuesta en el caché,
como no-cache
Control de
caché con control de caché
X: Desarrollado por
framework
Variar: la codificación de aceptación
indica que el sitio web tiene habilitada la compresión GZip
Content_Length
Tamaño de HTML
El
navegador ETag verifica que el recurso solicitado
no ha cambiado de acuerdo con el ETag de la solicitud HTTP. La
respuesta 304 no modificada se devuelve y se lee en el caché del navegador de cebolla morada, por lo que no es necesario volver a descargar la solicitud
La ubicación
indica el objetivo del acceso redirigido
WWW-Authenticate se
utiliza en respuesta con el código de estado 401 para proporcionar información
relacionada con la verificación de identidad en poder del servidor
X-Fram-Options
indica si y cómo el marco del navegador carga la respuesta actual
método http, URL, cookie, código de estado
Método HTTP (puede usarse para pruebas de seguridad)
get
请求获取某一资源
post
提交表单
opptions
返回服务器各种信息
put
生成上传文件数据包
move
改名数据包
copy
复制数据包
delete
删除数据
propfind
生成返回有浏览目录权限的内容目录的数据包,最后点提交数据包把生成的数据包提交到服务器
URL
web资源唯一标识符,可通过它获取其标识的资源
默认80端口,写在域名后
?id=1 取出数据库id为1的数据返回
在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位符),它是WWW的统一资源定位标志,就是指网络地址。
URL由三部分组成:资源类型、存放资源的主机域名、资源文件名。
也可认为由4部分组成:协议、主机、端口、路径
Galleta
概念
HTTP是无状态协议,客户端和服务器交换数据完毕就会断开连接,再请求,再连接,这就造成服务器单从网络连接上无法知道用户身份
为了解决,每次有新用户来的时候,就给它发一个身份证,下次访问就知道如何处理了
本质是一个很小的文本文件,储存在用户机器上
会话cookie
临时
持久cookie
可以设置有效时间
属性
域domain
可以控制哪些站点可以使用
路径PATH
可以为服务器特定文档指定cookie
secure
只能在HTTPS协议加密情况下才会发送
第三方cookie
cookie的域域地址栏中的域不匹配
通常用在第三方广告网站,为了追踪记录收集浏览习惯
Código de estado
1XX
提供信息
2XX
请求被成功提交
3XX
客户端被重定到其他资源
4XX
请求包含某种错误
5XX
服务器执行请求遇到错误
Código de estado especial
100Continue
表示已经收到请求消息头
200OK
成功提交请求
201Created
put请求已经成功提交
301Moved Permanently
将浏览器永久重定向另外一个在Location消息头中制定的URL ,之后的客户端使用新的URL替换原有的
302found
恢复原始URL
304NOT Modifide
使用缓存中保存的所请求的资源的副本
400 Bad Request
提交了一个无效的HTTP请求
401 Unauthorized
HTTP身份验证
403 Forbidden
不管是否通过身份验证,禁止任何人访问被请求资源,主页没有配置
404 Not Found
资源已经被删除
405 Method Not Allowed
指定URL不接受请求中使用的方法
413 Request Entity Too Large
请求主体过长
414 Request URI Too long
请求中URL过长
500 Internal Server Error
服务器执行请求时遇到错误
仔细检查响应内容
503Service Unavaiable
web服务器正常,应用程序无法响应
检查网关,服务器,中间件
HTTPS
使用普通非加密TCP作为传输机制,安全传输机制是安全套接层SSL
autenticación http
Basic
请求消息头中随每条信息以Base64编码字符串形式发送用户证书
NTLM
NTLMV2 与Kerberos验证体系
Digest
响应式机制
Codificación de aplicaciones web
Codificación de URL (muchas herramientas pueden convertir)
%3d
=
%25
%
%20和+
空格
%0a
换行
%00
空字节
Codificación Unicode
Codificación HTML
跨站脚本漏洞时发挥作用
Base64
Codificación hexadecimal
远程和序列化框架
Punto de conocimiento
静态 动态语言区别
动态语言:服务端和客户端代码不一致(如 html)
静态语言:服务端和客户端代码一致(如: asp,php,aspx,jsp)
3.3.1 常见的脚本语言有那些
asp 、php、 aspx、 jsp、 cgi、 war、 do、 py、 pl
3.3.1 常见的数据库有那些
access mysql mssql(sqlserver) oracle postsql db2
3.3.1 常见的数据库与脚本语言搭配
asp+access,asp+mssql,php+mysql,aspx+mssql aspx+oracle,jsp+oracle, jsp+mssql 等
3.3.1 系统、脚本语言、中间件如何组合
Windows2003/2008/2012+asp、aspx、php+iis6.0/7.0+7.5
Apache+Windows/Linux+PHP Windows/Linux+Tomcat+JSP
3.3.1 渗透测试过程中如何查看对方网站平台
1、工具(RASS、天镜、NMAP、X-SCAN) 2、第三方平台(seo.chinaz.com) 3、通过 ping 观看 TTL 值