网络安全攻防:Web安全之HTTP协议

安全 应用安全
HTTP协议虽然被广泛应用于Web应用之中,但由于其传输时的不安全性,之后将被HTTPS协议逐步替代。

 [[397157]]

超文本传输协议(HTTP,Hyper Text Transfer Protocol)是访问万维网使用的核心通信协议,也是今天所有Web应用都会使用的协议。HTTP协议虽然被广泛应用于Web应用之中,但由于其传输时的不安全性,之后将被HTTPS协议逐步替代。

在最初的时候,HTTP 只是一个为获取基于文本的静态资源而开发的一个简单协议,后来随着Web应用的兴起,人们以各种形式扩展和利用它,使其能够支持如今常见的复杂分布式应用。

HTTP机制:客户端发送一条请求,然后服务端返回一条响应消息。该协议是基于TCP/IP协议的传输协议。

1. HTTP请求

我们可以在浏览器的控制台上查看 HTTP 的请求头部分的信息。例如,输入网址http://www.example.com,然后再按F12打开控制台,如图1所示。

图1  HTTP请求头

可以从图1中看出请求头大致的组成部分如下。

(1)访问方法,最常用的方法为GET,它的主要作用是从Web服务器获取一个资源。

(2)所请求的URL地址。

(3)使用的HTTP版本。Internet最常有的HTTP版本为1.0和1.1,而两者最主要的区别是在攻击Web程序时,HTTP1.1的版本必须使用Host请求头。

(4)User-Agent消息头提供与浏览器或其他生成请求的客户软件相关的信息。

(5)Host消息头用于指定出现在被访问的完整URL中的主机名称。

(6)Cookie消息头用于提交服务器向客户端发布的参数。

2. HTTP响应

对应于前面提到的HTTP请求,在浏览器中也可以找到响应头的信息,如图2所示。

图2  响应头信息

响应头中有部分信息与请求头中是一样的,如HTTP的版本。

响应头往往表示请求结果的状态码,200是最正常的状态码。

响应头还有如下的几个要点:Server消息头,指明所使用Web服务器软件;Content-Length消息头规定消息主题的字节长度。

3. HTTP方法

在攻击Web应用程序时,最常用的两个方法为GET和POST。

GET方法的作用为获取资源。它可以在URL中以查询字符串的形式向所请求的资源发送参数。

POST方法的作用为执行操作。使用这个方法可以在URL查询字符串与消息主体中发送请求参数。

在传输数据方面,POST方法比GET方法有效。GET传输的数据不大于2 KB,而POST传输的数据量较大,一般默认没有限制。但理论上,IIS4中最大的量为80 KB,IIS5为100 KB。并且GET方法的安全性比较低,POST方法会将数据进行加密,所以会比较安全。另一点就是POST方法的执行效率比GET方法要高。 

 

责任编辑:庞桂玉 来源: 计算机与网络安全
相关推荐

2021-05-07 14:12:50

网络安全Web安全CSRF

2021-05-13 20:38:30

2021-05-08 15:22:31

网络安全Web安全SQL

2021-04-27 10:00:27

网络安全WebURL

2021-06-16 09:40:44

网络安全物联网代码

2021-04-25 21:45:25

网络安全网络安全攻防ZigBee安全

2021-04-23 13:35:41

网络安全蓝牙Wi-Fi

2021-03-15 13:50:24

网络安全Android安全机制

2021-03-22 10:52:58

网络安全Android数据安全

2021-04-01 10:40:22

网络安全软件

2021-04-15 11:55:40

网络安全无线网络WPA

2021-04-13 11:30:09

网络安全无线网络WEP

2021-02-02 14:02:48

网络安全对称密码密钥

2021-04-06 10:30:49

网络安全暗网互联网

2021-05-24 11:40:50

网络安全数据库安全服务器

2019-01-10 15:44:00

2021-02-23 09:12:46

网络安全系统安全OpenSS

2021-03-02 14:02:19

网络安全系统安全iptables

2021-02-22 08:35:41

网络安全Linux系统安全

2021-03-24 09:46:46

网络安全软件反汇编
点赞
收藏

51CTO技术栈公众号