安全矩阵

 找回密码
 立即注册
搜索
查看: 2305|回复: 0

网络安全攻防:Web安全之HTTP协议

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-4-29 14:46:21 | 显示全部楼层 |阅读模式
原文链接:网络安全攻防:Web安全之HTTP协议

超文本传输协议(HTTP,Hyper Text Transfer Protocol)是访问万维网使用的核心通信协议,也是今天所有Web应用都会使用的协议。HTTP协议虽然被广泛应用于Web应用之中,但由于其传输时的不安全性,之后将被HTTPS协议逐步替代。


在最初的时候,HTTP 只是一个为获取基于文本的静态资源而开发的一个简单协议,后来随着Web应用的兴起,人们以各种形式扩展和利用它,使其能够支持如今常见的复杂分布式应用。

HTTP机制:客户端发送一条请求,然后服务端返回一条响应消息。该协议是基于TCP/IP协议的传输协议。

1. HTTP请求

我们可以在浏览器的控制台上查看 HTTP 的请求头部分的信息。例如,输入网址http://www.example.com,然后再按F12打开控制台,如图1所示。

图1  HTTP请求头

可以从图1中看出请求头大致的组成部分如下。

(1)访问方法,最常用的方法为GET,它的主要作用是从Web服务器获取一个资源。

(2)所请求的URL地址。

(3)使用的HTTP版本。Internet最常有的HTTP版本为1.0和1.1,而两者最主要的区别是在攻击Web程序时,HTTP1.1的版本必须使用Host请求头。

(4)User-Agent消息头提供与浏览器或其他生成请求的客户软件相关的信息。

(5)Host消息头用于指定出现在被访问的完整URL中的主机名称。

(6)Cookie消息头用于提交服务器向客户端发布的参数。

2. HTTP响应

对应于前面提到的HTTP请求,在浏览器中也可以找到响应头的信息,如图2所示。

图2  响应头信息

响应头中有部分信息与请求头中是一样的,如HTTP的版本。

响应头往往表示请求结果的状态码,200是最正常的状态码。

响应头还有如下的几个要点:Server消息头,指明所使用Web服务器软件;Content-Length消息头规定消息主题的字节长度。

3. HTTP方法

在攻击Web应用程序时,最常用的两个方法为GET和POST。

GET方法的作用为获取资源。它可以在URL中以查询字符串的形式向所请求的资源发送参数。

POST方法的作用为执行操作。使用这个方法可以在URL查询字符串与消息主体中发送请求参数。

在传输数据方面,POST方法比GET方法有效。GET传输的数据不大于2 KB,而POST传输的数据量较大,一般默认没有限制。但理论上,IIS4中最大的量为80 KB,IIS5为100 KB。并且GET方法的安全性比较低,POST方法会将数据进行加密,所以会比较安全。另一点就是POST方法的执行效率比GET方法要高。

微信公众号:计算机与网络安全
ID:Computer-network


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:51 , Processed in 0.012429 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表