URL,统一资源定位符,网络资源的唯一地址,协议 → 主机号(域名 / IP) → 端口号(默认 http:80、https:443) → 路径 → 查询参数(? 键值对 & 拼接) → 锚点(#,仅客户端解析,不发送给服务器)。 再经过DNS的处理后(将域名转化为IP地址)作为客户端和服务器之间请求和响应的依据。
其中,http作为核心协议,用于在客户端和服务器之间以报文的格式传输html文档和其他各类资源,(格式为起始行,头部字段,空行和实体主体)
客户端和服务器一般为网络连接的主体,也存在像proxy和vpn这样的第三者作为中间人,proxy一般是在两者之间明文传递,而vpn则在客户端和vpn服务器之间存在加密隧道,由vpn服务器解密后再传输给目标服务器。
http有明文传输,无状态(不记录客户端连接状态)的特点,这种设计减少了服务器的负荷,提高传输的效率,同时将客户端的管理交给cookie和session来处理 ,然而明文传输也带来了安全隐患,于是https在特定场合会替代http,实际上就是对请求和响应的报文进行加密。
burpsuite这种搭建在本地的代理服务软件可以在本地搭建一个代理服务作为中间层(默认地址为127.0.0.1:8080,将浏览器或测试设备的代理指向该本地地址时,所有web请求先发往burp,再转发给目标服务器,同理,目标服务器的响应也会先给burp,burp可以对请求和响应进行拦截,修改,记录。加密可以对请求响应报文进行保护,抓包容易,解包困难。
