代码编织梦想

request请求包格式

1.请求行:请求类型/请求资源路径、协议的版本和类型

由三个标记组成:请求方法、请求URL和HTTP版本,它们用空格分享

例:GET/index.html HTTP/1.1

2.请求头:一些键值对浏览器与web服务器之间都可以发送特定的某种含义

由关键字/值对组成,每成一对,关键字和值用冒号分享,请求头标通知服务器腾于客户端的功能和标识

HOST:主机或域名地址

Accept:指浏览器或其他客户可以接受的MIME文件格式,Servlet可以根据它判断并返回适当的文件格式

User-Agent:是客户浏览器名称

Host:对应网址URL中的web名称和端口号

Accept-Language:指出浏览器可以接受是语言种类,如en或en-us,指英语

connection:用来告诉服务器是否可以维持固定的HTTP连接,http是无连接的,HTTP/1.1使用Keep-Alive为默认值,这样当浏览器需要多个文件时(比如一个HTML文件和相关的图形文件),不需要每次都连接

Cookie:浏览器用这个属性向服务器发送Cookie,Cookie是在浏览器中寄存是小型数据体,它可以记载和服务器相关的用户信息,也可以用来实现会话功能

Referer:表明产生请求的网页URL,如此从网页/icconcept/index.jsp中点击一个链接到网页/icwork/search,在向服务器发送的GET/icwork/search中的请求中,Referer是http://hostname:8080/icconcept/index.jsp,这个属性可以用来跟踪web请求从什么网站来的

Content-Type:用来表名request的内容类型,可以用HttpServletRequest的getContentType()方法取得

Accept-Charest:指出浏览器可以接受的字符编码,英文浏览器的默认值是ISO-8859-1

Accept-Encoding:指出浏览器可以接受的编码形式,编码方式不同与文件格式,它是为了压缩文件并加速文件传递速度,浏览器在接收到web响应之后先解码,然后再检查文件格式

3.空行:请求头与请求体之间用一个空行隔开

最后一个请求头标之后是空行,发送回车符和退行,通知服务器以下不会再有头标

4.请求体:要发送的数据(一般post提交会使用)

例:user=123&pass=123

使用POST传送,最常使用的是Content-Type和1.状态行:协议版本、数字形式的状态代码和状态描述,各个元素之间以空格分隔Content-Length头标

Response返回数据包数据格式:

一个响应由四个部分组成:状态行,响应头标,空行,响应数据

1.状态行:协议版本、数字形式的状态代码和状态描述,各个元素之间以空格分隔

2.响应头标:包含服务器类型、日期、长度、内容类型等

3.空行:响应头与响应体之间用空行隔开

4.响应数据:浏览器会将实体内容中的数据取出来,生成相应的页面
 

HTTP响应码

1XX——信息,请求收到,继续处理

2XX——成功,信息被成功的接受、理解和采纳

3XX——重定向,为了完成请求,而必须执行的操作

4XX——客户端错误

5XX——服务器错误

200——存在文件

403——存在文件夹

3XX——均可能存在

404——不存在文件或文件夹

500——均可能存在

根据响应码判断文件或文件夹是否存在

php文件获取IP地址的方法:

REMOTE_ADDR
HTTP_X_FORWARDED_FOR
HTTP_CLIENT_IP

CTF部分考题分析

来源页伪造

规定只能从某个特定的网站访问,那么可以进行伪造,通过burpsuite抓包得到数据报,然后可以更换referer=www.google.com,就可以伪造来源进入页面


浏览器信息伪造

 更换浏览器信息,改为iPhone与2g条件下的nettype就可以


投票漏洞分析溯源

这类题目给定的是一个投票系统,除了分析前需要的一些条件(比如,它会限定这只能在微信端登录或者只能是2G网络等等,这种题目往往只需要更改USER-AGENT选项,更改浏览器信息就行);

这是我们需要伪造的IP地址 IP地址进行伪造

 

其次是分析,这种漏洞是php文件对Ip地址的获取存在一个漏洞,它是根据ip地址来进行投票次数的限制,所以我们可以使用ip地址伪造,在burpsuite中进行攻击,从而达到刷票的目的

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64598287/article/details/129673258

IPv6数据包知识详解-爱代码爱编程

作为网络的基础,协议类型现在在使用的有两种,一个是IPv4,一个就是IPv6。为了能容纳更多的信息,我们扩展了网络地址,也就是IPv6诞生的原因,所以,在这里我们来介绍一下它的结构也就是IPv6数据包的技术知识。 技术信息概述 IPv6包由IPv6包头(40字节固定长度)、扩展包头和上层协议数据单元三部分组成。 IPv6包扩展包头中的分段包头(下文详

数据包分析面试题带答案-爱代码爱编程

自己在学习Wireshark数据包分析实战过程中整理的问题。 1.请简单说明下数据包嗅探原理: 2.请写出几个常见的协议: 3.协议通常是用来解决什么问题的: 4.请写出七层OSI参考模型: 5.请简单写出七层OSI模型的功能: 6.半双工模式和全双工模式的区别是什么: 7.什么是广播流量、组播流量、单播流量: 8.什么是子网掩码: 9.请简单写出ARP协

python抓取数据包_python抓数据包-爱代码爱编程

广告关闭 腾讯云11.11云上盛惠 ,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高返5000元! 前言:数据科学越来越火了,网页是数据很大的一个来源。 最近很多人问怎么抓网页数据,据我所知,常见的编程语言(c++,java,python)都可以实现抓网页数据,甚至很多统计计算的语言(r,matlab)都有可以实现和网站交互的包。 本

篡改数据包-爱代码爱编程

工具简介 BurpSuite:是一个用于测试 Web 应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。 功能 模块HTTP代理它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量Scanner一个 Web 应用程序安全扫描

【小白渗透入门系列】P2 渗透测试_基础入门_数据包扩展-爱代码爱编程

大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! ! 今天更新的是: P2 渗透测试_基础入门_数据包扩展往期检索:小白渗透入门系列 - 目录 创建时间:2021年3月1日软件: MindMaster Pro 先放一张思维导图

30、IP数据包结构-爱代码爱编程

本节来学习IP数据包的结构,前面我们一直在说数据包,IP数据包是网络层的PDU。PDU的概念我们在本专栏第2节的内容中谈到过,忘记了就赶快去复习。数据包也被称为“IP数据报”或者“IP分组”,这三个概念是通用的,到任何一本计算机网络教材中都适用的。 IP数据包的组成 IP数据包是由数据发送方的传输层交付下来的信息加上网络层的IP首部封装而成的,所以从整

wireshark:使用捕获的数据包-爱代码爱编程

查看抓包信息 一旦你捕获了一些数据包或者打开了以前保护的捕获文件,你就可以通过单击数据包列表窗格中的数据包来查看数据包列表窗格中显示的数据包,这将在树状视图和字节视图窗格中显示所选数据包 然后,就可以展开树的任何部分来查看每个包中每个协议的详细信息。单击树中的一个项目将突出显示字节视图中相应的字节。下图显示了一个选中TCP报文的示例,“Wireshar

Day02 基础入门-数据包扩展-爱代码爱编程

Day02 基础入门-数据包扩展 声明:本文章仅仅是个人学习笔记,仅供交流学习使用,请勿用于非法用途 ——小迪web安全渗透培训视频笔记 文章目录 Day02 基础入门-数据包扩展内容网站解析对应HTTP/S数据包Request请求数据包数据格式Response返回数据包数据格式演示案例案例1:Burpsuite抓包修改测试案例2: