1.2.1 渗透流程---1.3.1 HTTP协议

原创
2019/05/06 16:46
阅读数 56

1.2.1 渗透流程

什么是渗透

渗透就是模拟黑客攻击找到企业程序中的漏洞。 时间、耐心、细心、精力集中 渗透工程师

渗透也分为几类:

白帽子,查找企业漏洞提交修复。 黑帽黑客,这类人可能有背景或者其它利益相关会,查找漏洞并且深入获取信息。

常规渗透(正规渗透工作)

保密协议

针对性目标测试 针对产品、站点

指定范围测试。

非常规渗透

没有特地目标,没有针对,没有范围。

渗透流程

偏攻击的流程

1.3.1 HTTP协议

HTTP基础

深入了解《图解HTTP》 HTTP即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础。

HTTP历史

1991年发布的0.9版 1996年5月,HTTP/1.0 版本发布 1997年1月,HTTP/1.1 版本发布 2015年,HTTP/2 发布

HTTP/0.9

只有一个命令GET。

HTTP/1.0

引入了POST命令和HEAD命令,丰富了浏览器与服务器的互动手段。

1.0版的HTTP请求的例子。

HTTP/1.1(目前大部分网站在使用的)

HTTP/1.1版的最大变化,就是引入了持久连接(persistent connection),即TCP连接默认不关闭,可以被多个请求复用。

客户端和服务器发现对方一段时间没有活动,就可以主动关闭连接。不过,规范的做法是,客户端在最后一个请求时,发送Connection: close,明确要求服务器关闭TCP连接。

如何发起请求

curl -I 确认网站响应

telnet www.baidu.com 80
GET / HTTP/1.1

HTTP请求方法

HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。 HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

一般扫描网站,都是通过HEAD进行扫描,抓包 如果在日志中发现HEAD头的相关字样,那就是有人在通过扫描器,扫描站点 post 漏洞,IIS6写权限漏洞

HTTP状态码

HTTP消息

展开阅读全文
加载中

作者的其它热门文章

打赏
0
0 收藏
分享
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部