JavaWeb之抓包之旅(二)

JavaWeb 抓包之旅(二) :Http协议

注:http协议,我是从网上总结出来

首先来看看界面吧

再来看看抓包的界面(暂时不要问我用的什么工具,我们慢慢来)

先看请求报头

我们来分析看看:

  1. 我只知道POST请求 地址default/2.aspx Http1.1(持久连接)
  2. Host:指定请求资源的Intenet主机和端口号,必须表示请求url的原始服务器或网关的位置。HTTP/1.1请求必须包含主机头域,否则系统会以400状态码返回。
  3. Content-Length:很明显是内容长度。
  4. Cache-Control:告诉所有的缓存机制是否可以缓存及哪种类型。
  5. Accept:指定客户端能够接收的内容类型,内容类型中的先后次序表示客户端接收的先后次序。我们接收的顺序,text/html,application/xhtml等等。
  6. Origin:主要是用来说明最初请求是从哪里发起的。
  7. User-Agent: HTTP客户端运行的浏览器类型的详细信息。通过该头部信息,web服务器可以判断到当前HTTP请求的客户端浏览器类别。
  8. Content-Type: 显示此HTTP请求提交的内容类型。一般只有post提交时才需要设置该属性。
  9. Referer:包含一个URL,用户从该URL代表的页面出发访问当前请求的页面,这是比较重要的一个,我们会根据url或者Referer来模拟请求。
  10. Accept-Encoding:指定客户端浏览器可以支持的web服务器返回内容压缩编码类型。表示允许服务器在将输出内容发送到客户端以前进行压缩,以节约带宽。而这里设置的就是客户端浏览器所能够支持的返回压缩格式。
  11. Accept-Language:指定HTTP客户端浏览器用来展示返回信息所优先选择的语言。
  12. cookie:HTTP请求发送时,会把保存在该请求域名下的所有cookie值一起发送给web服务器。

    谈到这里我要详细讲下Cockie与session:

    当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择,都纪录下来。当下次你再光临同一个网站,WEB 服务器会先看看有没有它上次留下的 Cookie 资料,有的话,就会依据 Cookie里的内容来判断使用者,送出特定的网页内容给你。 Cookie 的使用很普遍,许多有提供个人化服务的网站,都是利用 Cookie来辨认使用者,以方便送出使用者量身定做的内容,像是 Web 接口的免费 email 网站,都要用到 Cookie。

    具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。同时我们也看到,由于采用服务器端保持状态的方案在客户端也需要保存一个标识,所以session机制可能需要借助于cookie机制来达到保存标识的目的,但实际上它还有其他选择。cookie机制。正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。

    cookie的内容主要包括:名字,值,过期时间,路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式 。

    session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的sessionid,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。

回到上面:

我们看到了一个Cookie(当你访问服务器时就自动生成),这个cookie就像你去游乐园的票,你有了这个cookie,就可以做接下来的事情了。比如我们要获取登录进教务管理系统里面的信息。

再来看看我们请求的参数:

第一个参数,我们就不用管了,有很多浏览器自动生成的。

txtUserName:用户名了。

TextBox2:密码了。

txtSecretCode:验证码了。

RadioButtonList1:这个乱码的东东,我们记得应该怎么加密处理了的。

现在来看看响应的报头:

  1. Cache-Control:告诉所有的缓存机制是否可以缓存及哪种类型
  2. Pragma: 包括实现特定的指令,它可应用到响应链上的任何接收方.
  3. Expires: 响应过期的日期和时间.
  4. Location:用来重定向接收方到非请求URL的位置来完成请求或标识新的资源;
  5. Server: web服务器软件名称:

响应的内容:

我们可以看到返回了相应的内容,里面有条链接,如果我们在同个Cookie下去请求,我们会得到相应的信息。

比如:http://211.67.63.17/xs_main.aspx?xh=12042 我们单独点这条链接会到登录界面。要在前面请求了有了session,Cookie的前提我们就可以请求到相应的信息了。

我们也要知道常见的响应码:

1XX: 信息

2XX:成功

3XX:重定向

4XX:客户端错误

5XX:服务器错误

下一讲,就讲抓包工具的使用了。

时间: 2024-10-09 17:54:31

JavaWeb之抓包之旅(二)的相关文章

JavaWeb之抓包之旅(二) :抓包工具

谈到抓包工具,我们很多的浏览器都内置了抓包工具,还有很多优秀的插件,这里我用到的是:charles.(当我说到这个工具的时候,你可能会,哦,原来是这个啊,网上也有一堆教程,但是这里我想用多个例子来示例). 至于Charles的安装说明,请看链接:charles使用教程指南 接下来我就来讲3个实例:(记得Charles代理得开,手机抓包时,wifi设置代理) 第一我们来抓今日头条网页的一个新闻链接,来看看界面 此时clear下charles 的内容,等下会好看一点.点击该链接,我们观察到Charl

JavaWeb之抓包之旅(三) :HttpClient封装工具类

谈到httpClient相信大家都不陌生,网上也有一大推别人总结的.HttpClient是Apache Jakarta Common下的子项目,用来提供高效的.最新的.功能丰富的支持HTTP协议的客户端编程工具包,并且它支持HTTP协议最新的版本和建议. 详细请参考文档:HttpClient 我们在对数据进行请求的时候经常使用. 前不久在做一个百度地图定位的(通过GPS判断你在某个学校,但是并不是每个学校地图上都有,而且如何确定范围呢?) 类似于饿了么,我一直在想它为什么能定位到具体的某个宿舍呢

wiresherk抓包之旅

wireshark的原名是Ethereal,新名字是2006年起用的.当时Ethereal的主要开发者Gerald决定离开他原来供职的公司NIS,并继续开发这个软件.但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了. Wireshark是世界上最流行的网络分析工具.这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息,也是网络工程师.信息安全工程师必备的一个工具之一. Wireshark下载:https://www.

fiddler Android下https抓包全攻略

fiddler Android下https抓包全攻略 fiddler的http.https的抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行.支付宝.陌陌这样的APP是抓不到包的,需要一些特殊的配置,本文把fiddler Android下https抓包的详细配置都罗列出来,供大家参考. 一.普通https抓包设置 先对Fiddler进行设置: 勾选“CaptureHTTPS CONNECTs”,接着勾选“Decrypt HTTPS traffic”.同时,由于我

jmeter编写脚本之手机app抓包

pc端抓包及常用请求脚本编写,点击打开链接. 首先大家应该清楚手机app原理 据我了解,现在市面上收大概分两种, 一类是手游,用游戏引擎开发的客户端,这类我还未涉猎,不敢高谈: 二类是网站app,一般采用html5+css3作为app前端,实际上app就好比一个浏览器(其实也是浏览器内核),只要知道了主页登陆地址,我们就可以在模拟器上运行app了. 这里推荐使用chrome的开发者工具,具备手机浏览器模拟功能,还可以选择多种手机类型. 按F12开启抓包之旅(Windows系统) 如下图示:

ethereal抓包工具

ethereal是目前网络上开源的一款功能强大的以太网抓包工具,该软件可以监听异常封包,检测软件封包问题,从网络上抓包,并且能对数据包进行分析,从而帮助用户解决各种网络故障,更加方便查看.监控TCP session动态等等.ethereal抓包工具需要一个底层的抓包平台,在Linux中是采用Libpcap函数库抓包,在windows系统中采用winpcap函数库抓包.软件基本类似于tcpdump,但ethereal还具有设计完美的GUI和众多分类信息及过滤选项.用户通过ethereal,同时将网

fiddler抓包 IOS11以上系统

想要使用fiddler对iphone X进行抓包,按照以前的配置方法,走一遍.还是抓不成,原来是因为IOS11操作系统中,安装完证书之后,还需要再手动信任证书才能正常抓包. 以下内容来自:https://blog.csdn.net/weixin_42734141/article/details/82014843 感谢前辈踩坑,造福后辈. 一.IOS11安装fiddler证书: 1.打开fiddler确认ip地址及端口号,用safari浏览器打开iP:端口号(例192.168.2.188:8888

第5组-17级通信工程3班-037-网络协议抓包分析

一.  地址规划表 本机地址 目的地址 网站 172.31.148.37 183.232.231.174/172 百度:www.baidu.com 39.137.28.125 中国移动:www.10086.cn 配置步骤:打开抓包软件,点击以太网进行抓包,然后打开浏览器进入www.baidu.com/www.10086.cn.等浏览器反应后等10s左右,然后关闭浏览器.在抓包软件上按上停止抓包按键,随后进行抓包分析. 二.应用层 2.1直播所测试的目的地址ip 图表 1 www.baidu.co

Python 爬虫知识点 - 淘宝商品检索结果抓包分析(续二)

一.URL分析 通过对“Python机器学习”结果抓包分析,有两个无规律的参数:_ksTS和callback.通过构建如下URL可以获得目标关键词的检索结果,如下所示: https://s.taobao.com/search?data-key=s&data-value=44&ajax=true&_ksTS=1482325509866_2527&callback=jsonp2528&q=Python机器学习&imgfile=&js=1&stat