Web笔记
CTF中Web题型总结
- F12查看源码
- 文件上传
- sql注入
- XSS(跨站脚本攻击)
- 文件包含
- CSRF(跨站请求伪造)
- 代码审计
- 反序列化
- 加密解密
http协议(超文本传输协议)
作用于客户端与服务器之间
http协议以明文方式发送内容,不提供任何方式的数据加密
特性:
- 无连接:每次连接只处理一个请求
- 媒体独立
- 无状态:对上次处理的事务没有记忆
HTTP使用统一资源标识符(URI)来传输数据和建立连接
客户端请求消息
请求行
请求头部
----空行----
请求数据
服务器响应消息
状态行
响应报头
----空行----
响应正文
http请求方法及其作用
- GET:请求指定的页面信息,并返回实体主体
- POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件),数据被包含在请求体中
- HEAD:用于获取报头,类似GET方法,但返回的响应中无具体内容
- DELETE: 请求服务器删除指定的页面
- PUT:从客户端向服务器传送的数据取代指定的文档的内容
- OPTIONS:允许客户端查看服务器的性能
- CONNECT:HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器
- TRACE:回显服务器收到的请求,主要用于测试或诊断
- PATCH:对已知资源进行更新,是对PUT方法的扩展
http响应头信息
- Allow:服务器支持的请求方法
- Content-Encoding:文档的编码方法。常用html,gzip等
- Content-Length:内容的长度。当浏览器使用持续HTTP连接时才需要此数据
- Content-Type:表示后面的文档属于什么MIME类型
- Date:当前的GMT时间
- Expires:应该在什么时候认为文档已经过期,从而不再缓存它
- Last-Modified:文档的最后改动时间
- Location:为客户指定提取文档的地址
- Refresh:表示浏览器应该在多少时间之后刷新文档,以秒计
- Server:服务器的名字
- Set-Cookie:设置和页面关联的Cookie
- Host:客户端指定自己想访问的http服务器的域名/IP 地址和端口号
- Cookie
- User-Agent:用户代理,是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等
标准格式为: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) ,渲染引擎标识, 版本信息