Начинающим 1.3 HTTP/S ( Введение в web-хакинг )

Tayler

Резидент
238
248
21 Апр 2017
Собрал усе в кучу,некоторое дописал/переписал,наберитесь терпения,статья получилась длинная(Как мой х*й,вхахааахха),ладно,начинаем.

Http(Hyppertext Transfer Protocol - протокол пересылки гипертекста) - протокол пересылки гипертекста - это язык,которым клиенты и серверы World Wide Web(WWW) пользуются для общения между собой.Для обмена информацией он должен использоваться на каждом Web-браузере и сервере.

r2sTZ.png

Существует 4 основных версии этого протокола.

HTTP/0.9

Первой официальной спецификацией протокола HTTP считается НТТР/0.9. Эта и последующая версии определены группой IETF (Internet Engineering Task Force) в документе RFC 1945 . В течение четырех лет (1992- 1996) протокол НТТР/0.9 получил широкое распространение в Internet, хотя в то время технология Web еще не была достаточно развита. Версия 0.9 была весьма ограниченной и не содержала тех элементов, которые в настоящее время требуются для взаимодействия в Web.
HTTP/1.0

Спецификация НТТР/1.0 появилась в самом начале эры стремительного развития Internet, в мае 1996 года. Спецификация НТТР/1.0 определена в документе RFC 1945.
В основу НТТР/1.0 положен процесс обмена запросами и ответами, в рамках которого клиенту (Web-браузеру) и серверу (Web-серверу) разрешается (или запрещается) передавать, анализировать и получать информацию. Вообще, в спецификации НТТР/1.0 адрес URL определен следующим образом:

Для просмотра ссылки Войди или Зарегистрируйся[ ":"порт]/[ абсолютный путь ]

Здесь узел — это имя целевого узла, порт — необязательный номер порта, абсолютный_ путь — запрашиваемый ресурс.

При генерации запроса первым шагом должен быть выбор метода, который будет использоваться.

Методы:
Позволяет извлечь информацию из файловой системы. Если запрашиваемый файл является статическим файлом HTML, то будет отображено его содержимое. Однако если файл является динамическим файлом ASP, то Web-сервер обработает его, выполнит содержащиеся в нем команды и передаст результаты выполнения обратно броузеру. Пример: gerki.pw/members/tayler.2188.html
Метод HEAD почти идентичен методу GET, с одной оговоркой: при его использовании запрашиваемые данные возвращены не будут. Однако преимущество метода HEAD заключается в том, что в качестве ответа передается метаинформация: код ответа сервера, дата, заголовок сервера и т.д. Эти данные позволяют взломщику (иногда) "прощупывать" Web-сервер, на котором выполняется Web-приложение.
При использовании метода POST данные передаются серверу в теле запроса. Обычно метод POST используется в том случае, если в процессе взаимодействия применяется интерфейс CGI или серверные сценарии. Замечание: для всех запросов POST требуется указать корректный заголовок Content-Length

Ответ HTTP

Полученный от клиента запрос HTTP обрабатывается сервером, который обратно передает ответ. В качестве ответа передается набор следующих компонентов:

• код ответа (response code) — числовой код, связанный с откликом;
• поля заголовка (header field) — дополнительная информация об ответе;
• данные — содержимое, или тело ответа.

При наличии этих трех компонентов клиентский броузер "понимает" ответ сервера и может с ним взаимодействовать. Рассмотрим каждый компонент подробнее.

n_VUwniiRty6S9w6_RV_qw.png

Поля заголовка

Как в ответе сервера на запрос клиента, так и в ответе клиента на запрос сервера содержатся поля заголовка с дополнительной информацией. Сервер и клиент выполняют анализ этих полей и при необходимости используют полученную информацию.

-UuqB_baQwCS7fl-eqf_5A.png

Данные

Блок данных, содержащихся в клиентском запросе или ответе сервера, — это основная часть информации, передаваемой в процессе взаимодействия.В блоке данных передается Web-страница.
HTTP/1.1

Причиной появления протокола HTTP/1.1 послужили недостатки, обнаруженные в его предыдущей версии.
В протоколе HTTP/1.1 адрес URL выглядит следующим образом:

http1-url-structure.png

При сравнении адресов URL версий НТТР/1.0 и НТТР/1.1 можно заметить одно существенное отличие: протокол НТТР/1.1 поддерживает передачу параметров сценария с использованием запроса ?. Эта особенность используется практически во всех Web-приложениях и оказывается одним из первых механизмов, подвергающихся атаке. Все, что указано после символа ?, обрабатывается сценарием, а следовательно, становится целью атаки.

Методы:

Добавились следующие методы:

PUT: обновить текущий ресурс. PUT запрос содержит обновляемые данные.

DELETE: служит для удаления существующего ресурса.

Данные методы самые популярные и чаще всего используются различными инструментами и фрэймворками. В некоторых случаях, PUT и DELETE запросы отправляются посредством отправки POST, в содержании которого указано действие, которое нужно совершить с ресурсом: создать, обновить или удалить.

Также HTTP поддерживает и другие методы:3

TRACE: во время передачи запрос проходит через множество точек доступа и прокси серверов, каждый из которых вносит свою информацию: IP, DNS. С помощью данного метода, можно увидеть всю промежуточную информацию.

OPTIONS: используется для определения возможностей сервера, его параметров и конфигурации для конкретного ресурса.

Коды состояний:

Основные коды остались теже,но добавлено много новых,я их сюда кидать не стал,т.к считаю это не слишком значимым эллементом,но если кому-то интересно почитать - то duckduckgo в помощь.

Заголовки:

Добавлены следующие заголовки:
1e9K7dcxTeK-PvN11IlyeA.png
HTTP/2

Про него писать не хочу,почитать можно
Для просмотра ссылки Войди или Зарегистрируйся
и Для просмотра ссылки Войди или Зарегистрируйся
HTTPS

Это протокол, используемый для шифрования трафика HTTP. При этом для шиф- рования всего сообщения используется протокол SSL.Cитуацию усложняет еще и то, что в различных версиях SSL могут использоваться разные стандарты шифрования. Например, при использовании протокола SSLv3 можно выбрать один из существующих алгоритмов шифрования, начиная с DES и заканчивая RSA (RC2 и RC4). Проследить за практическим использованием протокола SSL проще всего с помощью сетевого анализатора пакетов.

Пример HTTP пакета и HTTPS:

2015-02-11-22_29_11-.png

post-2422-0-66400300-1385029180.png

Фууух,вроде все.

Для просмотра ссылки Войди или Зарегистрируйся
 
Последнее редактирование:

serp79

Участник
9
6
26 Июн 2017
практические занятия будут? а так спасибо, очень поучительно для тех кто как я только начинает читать на эту тему
 

Tayler

Резидент
238
248
21 Апр 2017
практические занятия будут? а так спасибо, очень поучительно для тех кто как я только начинает читать на эту тему
Конечно)
Только сначала нужно что бы вы хотя бы базу усвоили.
Поэтому еще статей 7 никакой практики.
 

serp79

Участник
9
6
26 Июн 2017
перенаправление путем подмены ДНС на роутере на свой комп на котором стоит снифер паролей. сделайте практическим занятием номер один ;-)
 

Похожие темы