Kiểm tra thâm nhập ứng dụng Web bằng BurpSuite - Phần 2
Trước hết nếu như các bạn chưa xem Part 1 có thể click tại đây .
Bây giờ trước khi chúng ta đi sâu vào sâu hơn, thật cần thiết để học những điều cơ bản. Cho dù bạn là người mới làm quen với công cụ HTTP này hoặc bạn đã biết một chút, nội dung sau sẽ hoạt động như một bộ nhớ làm mới cũng như là một nguồn thông tin toàn diện.
Vì vậy, HTTP là một giao thức lớp ứng dụng, nó đơn giản có nghĩa là phần mềm ứng dụng chủ yếu sử dụng giao thức này (như trình duyệt web, quản lý download, vv). Theo các thuật ngữ phức tạp, nó có nghĩa là HTTP nằm trên lớp ứng dụng của bộ giao thức TCP / IP.
HTTP hoạt động trong kiến trúc đáp ứng yêu cầu (như được mô tả trong bài trước). Có một số tiêu đề quan trọng mà bạn cần biết trước khi bắt đầu.
Trước hết, hãy nhìn vào điều này, đây là một yêu cầu điển hình và phản ứng của nó. Nó sẽ được giúp đỡ rất lớn.
Dưới đây là yêu cầu HTTP được gửi bởi trình duyệt của bạn khi bạn nhập "google.com" vào thanh địa chỉ của trình duyệt web của bạn.
--------------------------------------------------------------------------------
GET / HTTP/1.1
Host: google.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
--------------------------------------------------------------------------------
Đáp ứng từ máy chủ
Như bạn thấy phản hồi có hai phần-tiêu đề và nội dung. Phần nội dung biểu thị rằng google.com được chuyển đến www.google.co.in theo hướng mà trình duyệt của chúng tôi sẽ được chuyển hướng vì trình duyệt của chúng tôi sẽ yêu cầu URL đã đề cập trong quá trình yêu cầu tiếp theo.
Phương pháp: là những cách xác định các thông số khác nhau phải tuân theo trong quá trình truyền thông. Ví dụ như trong yêu cầu trên, phương pháp của chúng tôi là GET, được sử dụng để lấy một trang web từ một máy chủ như-là.
Có nhiều phương pháp khác bao gồm:
BÀI ĐĂNG
Được sử dụng để gửi một số dữ liệu đến máy chủ web để đánh giá. Ví dụ: dữ liệu đăng nhập của bạn như tên người dùng và mật khẩu. Dữ liệu tương ứng có thể có hoặc không có trên máy chủ.
ĐẶT
PUT được sử dụng để lưu trữ một số dữ liệu trên máy chủ. Ví dụ: khi bạn gửi dữ liệu đăng ký tới máy chủ web, yêu cầu tương ứng sử dụng phương pháp PUT.
GIẢI PHÁP
Tiêu đề này yêu cầu máy chủ phản hồi với các phương pháp có sẵn và hợp lệ trên máy chủ đó. Ví dụ trên một số máy chủ tất cả các giao tiếp được thực hiện với URL chính nó, vì vậy phương pháp GET sẽ luôn được sử dụng. Trong trường hợp này, gửi yêu cầu bằng phương pháp OPTIONS sẽ cho kết quả trả lời rằng chỉ có phương thức GET được hỗ trợ.
CÁI ĐẦU
Nó tương tự như phương pháp GET ngoại trừ máy chủ sẽ không gửi nội dung. Tiêu đề này được sử dụng để kiểm tra tính khả dụng của tài nguyên trước khi yêu cầu GET có thể được thực hiện.
TRACE
Máy chủ trả về cơ thể yêu cầu trong phần nội dung của nó. Điều này được sử dụng để kiểm tra xem các proxy (máy chủ trung gian) đang sửa đổi yêu cầu ban đầu bằng bất kỳ cách nào.
Trong bài viết tiếp theo tôi sẽ bao gồm các mã trạng thái, bộ nhớ đệm và một số tiêu đề quan trọng hơn.
0 nhận xét:
Đăng nhận xét