安全测试 – HTTP 协议基础
安全测试 – HTTP 协议基础
了解协议对于掌握安全测试非常重要。当我们拦截 Web 服务器和客户端之间的数据包数据时,您将能够理解协议的重要性。
HTTP 协议
超文本传输协议 (HTTP) 是一种用于分布式协作超媒体信息系统的应用程序级协议。这是自 1990 年以来万维网数据通信的基础。 HTTP 是一种通用的无状态协议,可用于其他目的以及使用其请求方法、错误代码和标头的扩展。
基本上,HTTP 是一种基于 TCP/IP 的通信协议,用于通过 Web 传送 HTML 文件、图像文件、查询结果等数据。它为计算机相互通信提供了一种标准化的方式。HTTP 规范指定客户端请求的数据如何发送到服务器,以及服务器如何响应这些请求。
基本功能
以下三个基本特性使 HTTP 成为一个简单而强大的协议 –
-
HTTP 是无连接的– HTTP 客户端,即浏览器发起 HTTP 请求。发出请求后,客户端与服务器断开连接并等待响应。服务器处理请求并重新建立与客户端的连接以发回响应。
-
HTTP 是媒体独立的– 只要客户端和服务器都知道如何处理数据内容,任何类型的数据都可以通过 HTTP 发送。这是客户端和服务器使用适当的 MIME 类型指定内容类型所必需的。
-
HTTP 是无状态的– HTTP 是无连接的,这是 HTTP 是无状态协议的直接结果。服务器和客户端仅在当前请求期间相互了解。后来,两个人都忘记了对方。由于协议的这种性质,客户端和浏览器都不能在跨网页的不同请求之间保留信息。
HTTP/1.0 为每个请求/响应交换使用一个新连接,而 HTTP/1.1 连接可用于一个或多个请求/响应交换。
建筑学
下图显示了 Web 应用程序的一个非常基本的架构,并描述了 HTTP 所在的位置 –
HTTP 协议是一种基于客户端/服务器架构的请求/响应协议,其中 Web 浏览器、机器人和搜索引擎等充当 HTTP 客户端,Web 服务器充当服务器。
-
客户端– HTTP 客户端以请求方法、URI 和协议版本的形式向服务器发送请求,然后是类似 MIME 的消息,其中包含请求修饰符、客户端信息和通过 TCP/IP 连接可能的正文内容。
-
服务器– HTTP 服务器以状态行响应,包括消息的协议版本和成功或错误代码,然后是类似 MIME 的消息,其中包含服务器信息、实体元信息和可能的实体正文内容。
HTTP – 缺点
-
HTTP 不是一个完全安全的协议。
-
HTTP 使用端口 80 作为默认端口进行通信。
-
HTTP 在应用层运行。它需要为数据传输创建多个连接,这增加了管理开销。
-
使用 HTTP 不需要加密/数字证书。
Http协议详情
为了深入了解 HTTP 协议,请单击以下每个链接。