【安全牛学习笔记】http特点

1.web页面分类动态web

    应用
    数据库
    根据用户的输入返回不同的结果

静态web2.web攻击面

Network
OS
WEB Server
App server
Web Application
Database
Browser

3.http协议特点明文

无内建安全机制
嗅探或代理截断可查看全部明文信息https只能提高传输层安全,并不能完全防范中间人攻击

  无状态
    每一次通信都是一个独立的过程

使用cookie/session跟踪用户会话
提高用户体验,但是增加了攻击向量

cycle一次请求/响应称为一个cycle

header
Set-Cookie 服务端发送给客户端的sessionID

Content-Lengthbody 记录body部分的长度Location 重定向
Cookie 证明用户状态的信息
Referrer 发起请求前所在的页面

4.状态码

100 表示服务器还有后续处理200 请求成功
300 重定向
400 客户端请求错误

401 需要身份验证403 拒绝访问
404 目标未发现
500 服务器内部错误

时间: 2024-10-11 08:31:55

【安全牛学习笔记】http特点的相关文章

【安全牛学习笔记】

弱点扫描 ╋━━━━━━━━━━━━━━━━━━━━╋ ┃发现弱点                                ┃ ┃发现漏洞                                ┃ ┃  基于端口五福扫描结果版本信息(速度慢)┃ ┃  搜索已公开的漏洞数据库(数量大)      ┃ ┃  使用弱点扫描器实现漏洞管理            ┃ ╋━━━━━━━━━━━━━━━━━━━━╋ [email protected]:~# searchsploit Usage:

【安全牛学习笔记】SMB扫描

SMB扫描 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋┃SMB扫描                                                                     ┃┃nmap -v -p 139,134 192.168.60.1-20                                          ┃┃nmap 192.168.1.132 -p139,445 --script=smb-os-disc

【安全牛学习笔记】​NMAP

NMAP ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋ ┃NMAP                                                                                              ┃ ┃nmap扫描脚本                                                                                   

【安全牛学习笔记】搜索引擎、SHODAN

搜索引擎.SHODAN ╋━━━━━━━━━━━━━━━━━━━━━━━━━━╋ ┃搜索引擎                                       ┃ ┃公司新闻动态                                ┃ ┃重要雇员信息                                ┃ ┃机密文件/网络拓扑                        ┃ ┃用户名密码                                    ┃ ┃

【安全牛学习笔记】​ NESSUS

NESSUS ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋ ┃NESSUS                                                                    ┃ ┃家庭版                                                                    ┃ ┃    免费                                             

​【安全牛学习笔记】操作系统识别

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂 Security+认证为什么是互联网+时代最火爆的认证? 牛妹先给大家介绍一下Security+ Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA :是和CISSP.ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作. 通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应

【安全牛学习笔记】WEP加密、RC4算法

WEP加密                                                            使用Rivest Cipher 4 (RC4)算法加密流量内容,实现机密性               CRC32算法检查数据完整性                                             标准采用使用24位initialization vector (IV)                          受美国加密技术出口限制法律

【安全牛学习笔记】Linux缓冲区溢出

Linux缓冲区溢出 FUZZING Crossfire 1.9.0版本接受入展socket连接时攒在缓冲区溢出漏洞 调试工具 edb 运行平台 Kali i486虚拟机 [email protected]:~# cd /usr/games/ [email protected]:/usr/games# ls crossfire [email protected]:/usr/games#  rm -rf crossfire [email protected]:~# mv crossfie.tar.

【安全牛学习笔记】 端口扫描

端口扫描 ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋ ┃隐蔽端口扫描                                                    ┃ ┃Syn-----syn/ack-----rst                                         ┃ ┃Scapy                                                           ┃ ┃  sr1(IP(dst="

​【安全牛学习笔记】端口扫描(二)

端口扫描(二) ╋━━━━━━━━━━━━━━━━━╋ ┃端口扫描                          ┃ ┃隐蔽扫描-----syn                  ┃ ┃  不建立完整链接                  ┃ ┃  应用日志不记录扫描行为-----隐蔽 ┃ ┃僵尸扫描                          ┃ ┃  极度隐蔽                        ┃ ┃  实施条件苛刻                    ┃ ┃  可伪