安全 --- http报文包详解及burp简单使用

news2024/12/24 2:37:54

HTTP

HTTP(超文本传输协议)是今天所有web应用程序使用的通信协议。最初HTTP只是一个为了获取基本文本的静态资源而开发的简单协议,后来对其进行扩展和利用,使其发展为能够支持如今常见的复杂分布式应用程序。


(1)消息模型

客户端发送请求信息,服务端返回响应信息。

协议基本不需要连接,虽然HTTP使用有状态的TCP协议作为它的传输机制,每次请求与响应交换都会自动完成,并且可能使用不同的TCP连接

(2)HTTP请求

所有HTTP消息(请求与响应)中都包含一个或几个单行显示的消息头(header),然后是一个强制空白行,最后是消息主体(可选)。

例:以下是一个典型HTTP请求:

GET /auth/488/YourDetails.ashx?uid=129 HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: https://mdsec.net/auth/488/Home.ashx
Accept-Language: zh-cn,zh;q=0.5
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Ge
cko/20100101 Firefox/91.0
Host: mdsec.net
Connection: Keep-Alive
Cookie: Sessionld=5870C7IF3FD4968935CDB6682E545476

(3)名词详解

  • get:说明HTTP方法的动词。最常用为GET,主要作用是从web服务器获取资源。post head options put
  • accept:Accept:浏览器支持的MIME类型分别是text/html、application/xhtml + xml、application/xml、*/*
  • MIME:多功能internet邮件扩充服务
  • text:标准化的表示文本信息,文本信息可以是多种字符集和或者多种格式的文档
text/html表示html文档;
application:传输应用程序数据或二进制数据;
application/xhtml + xml表示xhtml文档;
application/xml表示xml文档
  • referer:消息头用于表示发出请求的原始URL
  • accept-language:浏览器支持语言。zh-cn表示简体中文;zh表示中文
  • user-agent:消息头系统与浏览器或其他生成请求的客户端软件有关的信息;
  • host:消息头用于指定出现在被访问的完整URL中的主机名称
  • cookie:消息头用于提交服务器向客户端发布的其他参数
  • httponly:设置此属性,无法通过客户端js直接访问cookie
  • connection:表示持久的客户端与服务连接。connection:keep-alive
  • X_Forwaeded_For:用来识别通过HTTP代理或负载均衡方式连接到web服务器客户端最原始的IP地址的HTTP请求头字段
  • location:这个消息头用于在重定向响应(那些状态码以3开头的响应)中说明重定向的目标

(4)HTTP状态码

  • 200 OK。--- 表示已经成功提交请求,且响应主体中包含请求结果
  • 302:将浏览器暂时重定向到另一个在location消息头指定的URL,客户端应在随后的请求中恢复使用原始URL
  • 400 Bad Request:客户端提交了一个无效的HTTP请求。当以某种无效的方式修改请求(如在URL插入空格符),可能会遇到这个状态码
  • 404 Not Found:表示请求资源不存在
  • 500 Internal Server Error:表示服务器执行请求遇到错误

暴力破解 --- pikachu

环境

pikachu漏洞练习平台
burpsuite
firefox

基于表单的暴力破解

(1)进入pikachu漏洞练习平台

(2)随便输入用户名和密码,然后打开bp抓包

(3)查看抓包结果

(4)将抓包结果发送给测试器

查看结果:变量前后都加上§符号,特殊符号表示会进行跑字典,首先清除特殊符号

(5)选择跑字典的password

(6)设置有效载荷中的字典

开始攻击

(7)查看暴破情况

暴破成功(查看后面数字,将后面数字进行排列,不一样则点进去查看)

(8)进入界面测试登录结果

登录成功

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/717963.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PADS-LAYOUT菜单及工具使用

目录 1菜单栏 1.1文件菜单 1.2编辑菜单 1.3查看菜单 1.4设置菜单 1.5工具菜单 1.6帮助菜单 2工具栏 2.1标准工具栏 2.2绘图工具栏 2.3设计工具栏 2.4尺寸标注工具栏 2.5ECO工具栏 3系统配置 3.1全局选项 3.2设计选项 3.3栅格和捕获选项 3.4显示选项 3.5布线选…

【UnityDOTS 六】预制实例化成Entity

预制实例化成Entity 前言 从Authoring模式中,如何通过预制件来实例化一个对应的Entity对象到DOTS系统中。 一、Authoring模式与Runtime模式 Authoring创作模式:即我们熟悉的方便操作的创建预制的模式 Runtime模式:运行模式,即在…

Three.js教程:网格模型

推荐:将 NSDT场景编辑器 加到你的3D工具链 工具集: NSDT简石数字孪生 网格模型(三角形概念) 本节课给大家演示网格模型Mesh渲染自定义几何体BufferGeometry的顶点坐标,通过这样一个例子帮助大家建立**三角形(面)**的概念 三角形(面) 网格模型Mesh其实…

Spring Boot 中的 XA 事务

Spring Boot 中的 XA 事务 在现代化的应用程序开发中,事务管理是一个重要的话题。事务管理可以确保数据的一致性和完整性,同时也可以避免数据丢失和冲突等问题。在分布式环境中,XA 事务是一种常用的事务管理方式。在本文中,我们将…

基于麦克风阵列模块I2s6路slot数字音频信号的ADSP/STM32F4处理

hezkz17进数字音频系统研究开发交流答疑 1麦克风阵列 2 ADAU1452 DSP 输入接口 3 PCM数据算法处理

uni-app获取节点的相关信息

获取单个节点: selectorQuery.select(selector) 在当前页面下选择第一个匹配选择器 selector 的节点,返回一个 NodesRef 对象实例,可以用于获取节点信息。 selector 说明: selector 类似于 CSS 的选择器,但仅支持下列…

Jenkins 参数化构建

目录 前言: 以下是Jenkins官方的介绍: 首先新建一个自由风格的job,然后勾选“This project is parameterized”,如下图: 勾选参数构建 choice parameterized: 选项: 使用参数:…

linux驱动struct file_operations`中设置`owner`成员变量。

在Linux内核中,struct file_operations结构体是用来定义一个文件操作的集合。该结构体中包含了一组函数指针,这些函数指针指向了与文件操作相关的函数,例如文件的打开、关闭、读写、定位等操作。同时,该结构体中还包含了一些元数据…

Opencv项目实战:00 专栏内容介绍

目录 Opencv项目实战专栏介绍: 01 文字检测OCR 02 角度探测器 03 扫描二维码&条形码 04 全景图片拼接 05 物体检测 06 文档扫描仪 07 人脸识别和考勤系统 08 Yolov3更高精度的检测物体 09 物体尺寸测量 10 面部特征提取及添加滤镜 11 使用Opencv高亮…

接近完美的监控系统—普罗米修斯

内容 隐藏 1.怎么采集监控数据? 2.采集的数据结构与指标类型 2.1 数据结构 2.2 指标类型 3.实例概念 4.数据可视化 5.应用前景 普罗米修斯(Prometheus)是一个SoundCloud公司开源的监控和告警系统。当年,由于SoundCloud公司生产了太多的服务&#…

ant vue 自定义首页菜单实现

如图,我把 views/dataScreening/DataScreening 页面,设置成首页,登录以后自动跳转到这个页面 实现代码: 文件:/src/config/router.config.js import { UserLayout, TabLayout, RouteView, BlankLayout, PageView } from @/components/layouts/*** 走菜单,走权限控制* @t…

【深度学习】AIGC ,ControlNet 论文,原理,训练,部署,实战,教程

论文:https://arxiv.53yu.com/pdf/2302.05543 代码:https://github.com/lllyasviel/ControlNet 得分几个博客完成这个事情的记录了,此篇是第一篇,摘录了一些论文内容。ControlNet 的原理极为朴实无华(对每个block添加…

c++ connect函数连接失败

bool Connect() {//初始化网络WSADATA wsadata;WSAStartup(MAKEWORD(2, 2), &wsadata);if (0 ! WSAStartup(MAKEWORD(2, 2), &wsadata))return false;if (LOBYTE(wsadata.wVersion) ! 2 ||HIBYTE(wsadata.wVersion) ! 2) {printf("请求协议版本失败!\n");ret…

Ghatgpt正式登录苹果手机应用商城,并支持Siri和快捷指令

根据最新信息,OpenAI 发布的 ChatGPT 官方 iOS 应用程序迎来了重大更新。该应用程序已经在上个月登陆了美国、英国、法国、德国和韩国等 App Store,并且成为该市场上最受欢迎的免费应用程序。 作为生产力类应用的领导者,该应用程序完全免费&a…

MYSQL执行一条SELECT语句的具体流程

昨天CSDN突然抽风 我一个ctrlz把整篇文章给撤掉了还不能复原 直接心态崩了不想写了 不过这部分果然还是很重要,还是写出来吧 流程图 这里面总共有两层结构Server层 储存引擎 Server 层负责建立连接、分析和执行 SQL。MySQL 大多数的核心功能模块都在这实现,主要包…

PF-Net点云补全解读

论文链接:https://arxiv.org/pdf/2003.00410.pdfhttps://arxiv.org/pdf/2003.00410.pdf PF-Net是一个点云补全模型,整体网络为生成对抗网络(Gan)构成,G网络负责生成缺失的数据,D网络负责鉴别G网络生…

为什么Unity使用AssetBundle热更的时候要剔除掉.mainfest文件

1)为什么Unity使用AssetBundle热更的时候要剔除掉.mainfest文件 ​2)Addressable热更,断点续传问题 3)在线性空间,使用后处理解决UI混合问题 这是第341篇UWA技术知识分享的推送,精选了UWA社区的热门话题&am…

计算机毕业论文内容参考|基于Python的手机订餐系统的设计与实现

文章目录 导文摘要前言绪论1课题背景2国内外现状与趋势3课题内容相关技术与方法介绍系统分析系统设计系统实现系统测试总结与展望1本文总结2后续工作展望导文 计算机毕业论文内容参考|基于Python的手机订餐系统的设计与实现 摘要 本文基于Python语言,设计并实现了一个手机订餐…

我的毕业故事

前言 2023年6月25日,在拿到双证(毕业证书/学士学位证书)之后,我正式毕业,结束了本科学习阶段。 由于毕业设计中了盲审,因此在大致顺利的过程中平添了不少故事,这里就对近两个月做一个回顾。 盲审 首先解释一下什么…

MySQL之binlog、redolog、undolog

1.binlog是 mysql server 层的一种二进制日志,用来记录数据库的写入操作,并以"事务"的形式保存在磁盘上,主要的使用场景有主从复制和数据恢复。 2.redo log (重做日志)是InnoDB存储引擎产生的,记…