应用层协议与 BurpSuite 实战工具
URL
作用:定位服务器上的具体资源
结构:协议://域名[:端口号]/路径[?参数][#片段标识符]
| 组成部分 | 说明 |
|---|---|
| 协议 | 对指定资源访问的“规则” |
| 域名 | 服务器IP |
| 端口号 | 服务器的服务窗口 |
| 路径 | 服务器资源的地址 |
| 参数 | 向服务器资源传递的具体要求 |
| 片段标识符 | 网页的具体位置 |
HTTP
定义:它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的超文本传输协议
简单理解:服务器与客户端之间的网络通信规则
特点:简单灵活(请求即响应)、无状态(不保留请求的信息)、明文传输(无加密)
HTTP状态码:
HTTP报文结构
代理与VPN
代理:“中间商”
VPN:需要解密密文的“中间商”
BurpSuite渗透测试工具
中间人代理工具,专门用于拦截、查看、修改客户端与服务器之间的HTTP/HTTPS流量
bp证书
为中间服务器做背书
HTTPS加密通信技术
HTTPS
定义:超文本传输安全协议,是一种通过计算机网络进行安全通信的传输协议。
简单理解:服务器与客户端之间的安全(加密)网络通信规则
HTTPS=HTTP+S(SSL/TLS)
对称加密与对称加密
对称加密:客户端和服务器使用同一个密钥钥来加密和解密
非对称加密:使用公钥和私钥两种密钥
MITM
定义:中间人攻击是一种网络攻击方式,攻击者通过某种手段将自己插入到通信双方之间,窃取、篡改或者干扰双方的通信内容
简单理解:可以理解为将“运输中的信封”进行窃取、篡改或者干扰的过程
CA
CA(证书颁发机构)核心作用是证明服务器公钥的合法性,解决HTTPS通信中的身份信任问题。
简单理解:派出所给办身份证
