WEB系统渗透班-抓包工具安装+HTTP协议

WEB渗透测试工程师系统班250303期

第8节课作业

一、什么是url？

统一资源定位符。是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。

二、常见的基本url语法是什么？

协议://服务器IP(:端口)/路径/文件(?查询)

例如：http://www.xxx.com/aa.php?id=bb

三、GET请求和POST请求的区别有哪些？

从功能上来讲：Get用来获取资源  post用来更新资源

从请求参数来讲：GET请求的数据会附加在url之后 post请求会把提交的数据放到http请求报文的请求体中

从安全性上来讲：POST比GET 更安全，因为GET请求会把提交的数据明文放在url栏，而POST 被包装在了请求体里面

从请求大小看：GET请求会受到限制，POST是没有限制的

四、常见的响应码有哪些？说明它们的含义。

HTTP协议状态码表示的意思主要分为五类，大体是:

1××：保留

2××：表示请求成功地接收

3××：为完成请求客户需进一步细化请求

4××：客户错误

5××：服务器错误

500：内部服务器错误

404：文件未找到。可能是无效链接，可能是url拼写错误

403：禁止访问。尝试访问的网站被禁止会发生403错误

400：错误请求。访问者用来访问网站的程序出错，或访问请求途中遭到破坏。

401：未经授权。访问者试图访问受限页面但未经授权时，网站返回HTTP 401错误

200：请求成功。

206：部分内容。服务器已经成功处理了部分GET请求。

301：永久重定向。被请求的资源已永久移动到新位置，并且将来任何对此资源的引用都应该使用本响应返回的若干个url之一。

302：临时重定向。请求的资源现在临时从不同的URI响应请求。

502：无效网关。作为网关或者代理工作的服务器尝试执行请求时，从上游服务器接收到无效的响应。

五、详细说明下列请求和响应数据包中每个字段的含义

请求报文

第1行：请求行

POST：传参方式

/zb_system/login.php：url

HTTP/1.1：协议版本

第2行：请求头

Host：192.168.10.181：请求的目标域名和端口号

第3行：User-Agent：浏览器信息

第4行：Accept：客户端希望接受的数据类型是html，第二优先级是xhtml，第三优先级是xml，第四优先级是任意类型

第5行：Accept-Language：客户端可以支持语言zh-CN，zh，en-US，en，优先级依次递减

第6行：Accept-Enconding：客户端能支持gzip和deflate格式的压缩

第7行：DNT：DNT: 1 是 Do Not Track（请勿追踪）的缩写，表示客户端（通常是浏览器）请求服务器不要追踪用户的浏览行为。0表示允许

第8行：Referer：请求资源的完整URI（代表从哪里来）

第9行：Connection：用于指示客户端或服务器在完成当前请求-响应周期后关闭 TCP 连接。

第10行：Content-Type：表示请求体中的数据是以 URL 编码的键值对形式发送的。

第11行：Content-Length：告诉服务器请求体的大小是 96 字节。

响应报文

第1行：HTTP/1.1：协议版本

        200：状态码

        OK：状态码的原因短语

第2行：Date：指示响应生成的日期和时间。

第3行：Server：标识服务器信息

第4行：X-Powered-By：指示服务器端使用的编程语言及其版本信息，服务器使用的是 PHP，版本号为 7.3.4。

第5行：Product：指示服务器端使用的 Z-BlogPHP 程序及其版本信息，表示服务器使用的是 Z-BlogPHP，版本号为 1.7.2。

第6行：用于指示客户端或服务器在完成当前请求-响应周期后关闭 TCP 连接。

第7行：Content-Type：指示服务器返回的内容类型及其字符编码，text/html 表示返回的内容是 HTML 文档，charset=utf-8 表示 HTML 文档使用的字符编码是 UTF-8。

第8行：Content-Length：指示响应体的字节长度，客户端响应体的大小是 5143 字节。

六、（扩展知识学习-不硬性要求完成）

了解并学习课件内的《扩展知识材料-HTTP协议详解》

一、笔记标题：WEB系统渗透班-抓包工具安装+HTTP协议

二、文章内容：

1. 课程内容概要（简要概括本次课程的主要内容，不需要太详细，但要能快速回忆起本节课的知识点）

        主要知识点1：HTTP简介

                             http（超文本传输协议）是一个基于请求与响应模式的、无状态的、应用层的协议，常基于TCP的连接方式，HTTP1.1版本中给出一种持续连接的机制，绝大多数的Web开发，都是构建在HTTP协议之上的Web应用。
        主要知识点2：HTTP状态码

                             见作业
        主要知识点3：HTTP请求与响应

                             见第八课http请求与响应

        主要知识点4：抓包工具安装

                             bp和yakit
2.重点知识与细节

        概念解析
        概念1：无
        关键步骤
        步骤1：无
        相关代码

         无

3.实操练习 和 解析
安装下载bp以及yakit

4.个人总结（写下自己对本节课的理解、收获、困惑和需要进一步学习的内容）

        本节课最大的收获是：学会了看请求包和响应包，以及404等响应页面的含义。初步了解了抓包工具的应用

        仍然存在疑问的地方：暂无
        需要课后深入学习的内容：深入学习http协议