250303期 第八课笔记与作业 蓝金斌

1、课程内容概要
主要知识点1：one-fox安装
主要知识点2：bp和yakit安装
主要知识点3：抓包请求头和响应头
主要知识点4：http协议
2、重点知识与细节
概念1：Get和post的一些区别：

从功能上来讲：Get用来获取资源  post用来更新资源

从请求参数来讲：GET请求的数据会附加在url之后 post请求会把提交的数据放到http请求报文的请求体中

从安全性上来讲：POST比GET 更安全，因为GET请求会把提交的数据明文放在url栏，而POST 被包装在了请求体里面

从请求大小看：GET请求会受到限制，POST是没有限制的。

概念2：请求头：Host: www.test.com/  //请求的目标域名和端口号

Origin: http://localhost:8081/  //请求的来源域名和端口号 （跨域请求时，浏览器会自动带上这个头信息）

Referer: https:/localhost:8081/link?query=xxxxx  //请求资源的完整URI（代表你从哪里来）

User-Agent //浏览器信息

Cookie: //代表了我的身份

Accept: text/html,image/apng  //代表客户端希望接受的数据类型是html或者是png图片类型

Accept-Encoding: gzip, deflate  //代表客户端能支持gzip和deflate格式的压缩

Accept-Language: zh-CN,zh;q=0.9  //代表客户端可以支持语言zh-CN或者zh(值得一提的是q(0~1)是优先级权重的意思，不写默认为1，这里zh-CN是1，zh是0.9)

Connection: keep-alive  //告诉服务器，客户端需要的tcp连接是一个长连接

If-None-Match  //如果内容未改变返回304代码，对应Etag

If-Modified-Since //对应last-midified，未被修改则返回304代码

概念3：响应头：Date: //服务端发送资源时的服务器时间

Expires: //缓存过期时间

Cache-Control:  no-cache  // 缓存方式

Etag  // 文件内容hash

Last-Modified  //最近一次文件修改时间

Content-Type: text/html; charset=utf-8  //编码格式

Content-Encoding: gzip  //采用gzip对资源进行解码

Connection: keep-alive  //tcp是长连接

Set-Cookie //设置Http Cookie

WEB渗透测试工程师系统班250303期

第8节课作业

一、什么是url？

是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源 的地址。

二、常见的基本url语法是什么？

协议://服务器IP(:端口)/路径/文件(?查询)

三、GET请求和POST请求的区别有哪些？

Get和post的一些区别：

从功能上来讲：Get用来获取资源 post用来更新资源

从请求参数来讲：GET请求的数据会附加在url之后 post请求会把提交的数据放到http请求报文的请求体中

从安全性上来讲：POST比GET 更安全，因为GET请求会把提交的数据明文放在url栏，而POST 被包装在了请求体里面

从请求大小看：GET请求会受到限制，POST是没有限制的

四、常见的响应码有哪些？说明它们的含义。

HTTP协议状态码表示的意思主要分为五类，大体是:

1××：保留

2××：表示请求成功地接收

3××：为完成请求客户需进一步细化请求

4××：客户错误

5××：服务器错误

五、详细说明下列请求和响应数据包中每个字段的含义

                              

1.请求行：
Post：更新php资源
2.请求头：
Host：请求目标域名/ip 192.168.10.181
User-Agent：告诉HTTP服务器用的windows系统，火狐浏览器的版本
Accept：浏览器端可接受html文档
Accept-Language：客户端可以支持语言zh-CN或者zh
Accept-Encoding：支持gzip和deflate的压缩方式
DNT：用户明确表示不希望被追踪。（0表示允许追踪）
Referer：包含一个URL，用户从http://192.168.10.181/zb_system/login.php该URL代表的页面出发访问当前请求的页面。
Connection：告诉服务器，客户端需要的TCP连接是一个短连接（close）
Content-Type：告诉服务器，请求体中的数据是以URL 编码 的形式发送的
Content-Length：表示请求消息正文的长度为96
3.响应头：
HTTP/1.1 200OK：表示请求成功
Date：表示消息发送的时间
Server：指明HTTP服务器用来处理请求的软件信息（阿帕奇win64位Openssl软件库包）
X-Powered-By：表示网站用php开发的
Product:表示网站用的是Z-BlogPHP 1.7.2 版本的系统
Connection:告诉服务器，客户端需要的TCP连接是一个短连接（close）
Content-Type：表示响应对象 HTML 文档使用 UTF-8 字符编码
Content-Length：实体正文的长度为5143