网安学习D4|从URL到HTTPS,扒光网络通信的"底裤"

闲闲闲
0 阅读5分钟

先划重点:本文所有技术探讨均基于《中华人民共和国网络安全法》及相关法律法规,仅用于学习研究,操作环境为合法搭建的测试环境,严禁用于任何非法用途!网络安全的底线是合法,耍技术的前提是守规矩,咱主打一个"知法懂法,技术不越界"~

哈喽各位掘友!今天是我啃网安这块硬骨头的第四天,前三天还在对着OSI七层模型"画饼充饥",今天直接上手扒应用层的底裤——从URL的小九九,到HTTPS的加密小心机,再到BurpSuite的初体验,主打一个"人话拆解,拒绝枯燥",咱用简单的方式把这些知识点嚼碎了喂给你~

一、先搞懂:URL不是"网址"这么简单

咱每天敲的网址,学名URL(统一资源定位器),说白了就是互联网的"门牌号",但这门牌号藏着不少猫腻:

  • 协议:走哪条路?HTTP(80端口)是敞篷车,HTTPS(443端口)是防弹车;
  • 主机名:找哪户人家?域名就是计算机的"身份证";
  • 端口:进哪个门?不同端口对应不同服务,比如80是HTTP的专属门;
  • 路径+查询参数:要找啥东西?路径是文件位置,参数是"要啥给啥"的指令(比如?name=张三&age=18,明明白白告诉你传了啥);
  • 片段标识符:进门后坐哪?锚点直接定位网页位置,比如点个"回到顶部"就是它在干活。

总结:URL的核心就是——精准找到目标计算机上的某个资源,跟外卖小哥找你家小区+单元+楼层+门牌号一个理儿~

二、HTTP:裸奔的"传话筒"

HTTP协议就是浏览器和服务器唠嗑的语言,但这哥们最大的毛病是"没穿衣服": ✅ 优点:简单灵活,想聊啥直接说; ❌ 缺点:

  1. 无状态:聊完就忘,得靠Cookie/Session记着你是谁(比如淘宝记着你加购的商品);
  2. 明文传输:数据裸奔,谁都能截胡看内容(就像你喊着"我密码是123456"过马路)。

这时候就得提一嘴HTTP报文——浏览器和服务器的"聊天记录",分两种:

  • 请求报文:你跟服务器说"给我拿个首页",常用GET(直接在URL裸传数据)和POST(把数据藏在请求体里,稍微含蓄点);
  • 响应报文:服务器回你话,核心看状态码:
    • 200:成了!服务器秒懂并给你资源;
    • 404:懵了!服务器找不到你要的东西;
    • 403:滚蛋!服务器不让你进;
    • 302:溜了!服务器让你去别的页面;
    • 500:崩了!服务器自己先垮了。

三、HTTPS:给HTTP套个"防弹衣"

既然HTTP裸奔不安全,那HTTPS就是给它套了件加密防弹衣——核心公式:HTTPS = HTTP + 加密层

1. 加密的两种玩法

  • 对称加密:一把钥匙开一把锁,你我都用这把钥匙加密解密,快是快,但钥匙传的时候容易被抢;
  • 非对称加密:两把钥匙配一对,公钥(公开)加密,私钥(藏好)解密。但问题来了——你咋知道收到的公钥是服务器的,不是坏人掉包的?(这就是"信任危机")

2. CA证书:给公钥发"身份证"

就像你出门要带身份证,服务器的公钥也得有"官方认证"——CA机构就是互联网的"派出所",给服务器发数字证书:

  • 证书里有服务器公钥、域名、CA数字签名(防伪章);
  • 客户端拿到证书,用CA的公钥验签名,确认公钥是真的;
  • 至于CA的公钥咋来的?根CA证书早就预装在浏览器里了,相当于"公安部发的终极防伪码",没人能掉包~

3. 别踩坑!HTTPS不是"绝对安全"

误区1:HTTPS全程用非对称加密?错!非对称加密慢,实际是用它传对称加密的钥匙,之后数据都用对称加密传; 误区2:有了HTTPS就万事大吉?漏!证书过期、配置错误照样会被浏览器警告,咱得学会看这些警告信号~

四、小彩蛋:彩虹表攻击?密码的"天敌"

今天还啃了个硬核知识点——彩虹表攻击,说白了就是黑客提前算好一堆密码的哈希值,做成"密码字典",快速破解你的哈希密码(比如MD5加密的密码)。

防御方法也贼简单:

  • 加盐:给每个密码加随机"小尾巴"再哈希,彩虹表直接失效;
  • 用慢哈希算法:比如bcrypt,让黑客算一次要半天,直接劝退;
  • 密码别设"123456":长点、复杂点,黑客的彩虹表装不下~

五、实操小记:小程序抓包初体验

光说不练假把式,今天试了小程序抓包,核心是"找个引路人"——用Proxifier把流量引到BurpSuite(BP):

  1. CA证书装到电脑里(不然抓不了HTTPS);
  2. BP和Proxifier都打开,端口配成一样的;
  3. 流量走Proxifier拐个弯进BP,就能看小程序的通信数据了~

(PS:抓包只抓自己的测试环境,别瞎抓别人的,违法的事儿咱不干!)

写在最后

网安第四天,从理论到实操,最大的感受是:网络安全不是"黑科技",而是"懂规则、守底线、拆逻辑"。HTTP的裸奔、HTTPS的加密、彩虹表的破解,本质都是"攻防思维"——你知道怎么裸奔,才知道怎么穿好防弹衣;你知道怎么破解,才知道怎么防御。

接下来还会继续啃BurpSuite的实操、更多加密算法,咱一步一个脚印,合法合规学技术,做个有底线的网安人~

如果觉得这篇唠嗑式笔记有用,点赞收藏走一波~咱评论区聊聊:你学网安时踩过哪些坑?

avatar
文章
阅读
粉丝