HTTP协议

下图黑色注地方都是重点

无连接：形象解释—就像TCP、UDP，TCP是面向连接的，先三次握手连接，而UDP则是直接发送数据等待reply，还像打电话和微信一样，打电话是先建立连接再对话，而微信并不连接直接发送信息，UDP和微信就是无连接

 

 

 HTTP是一个响应请求协议，HTTP的一个会话都是由一个请求和一个响应组成，对应着一个连接，一个连接完成了，就断开，开始第二个连接

 

 

 eg：

 一般只做调试：HEAD：只拿头部内容     OPTIONS：OPTIONS方法用来查询针对请求URI指定资源支持的方法（客户端询问服务器可以提交哪些请求方法）  PUT：上传文件    DELETE：删除    TRACE：跟踪路径          PS：PUT，DELETE对网站影响较大

GET其实也能把数据传到服务器，但是和POST的区别就是，用GET传输数据，数据会体现在URL里，这个name大小最多不超过2KB，POST传输不抓包看不到内容，大小不受限制，所以表单（用户名，密码，留言）一般都用POST方法

URI、URL

HTTP请求头域（网站在不同平台比如手机、电脑上显示，怎么就知道是用手机在访问这个网站呢，需要判断客户端的信息，请求头域就是包含客户机的信息）

 

 

 HTTP请求实体（传递的用户名，密码都在这个里面）

HTTP响应

 

 eg：响应（消息）包头包含的是服务器的信息

 

 响应代码是HTTP的一个定义

---

 

burpsuite基本使用（这个在我的博客DVWA—暴力破解里已经有说明，但是这里还是再来一遍）

代理服务器小科普：假设PC1和PC2连着同一台交换机，且在同一局域网内，但是只有PC2能通过交换机—路由器，可以上网，PC1没有账号上不了网，此时PC1发现可以和PC2进行通信，所以将PC2作为自己的代理服务器，PC2开了一个8000端口作为接收PC1的请求帮它代理上网，这时PC1的浏览器就要配置一个代理：1.1.1.2:8000，Pc1访问百度时，请求交给了PC2的8000端口，8000端口有能力上网就把请求替PC1发出去，再把结果拿回来，缓存，交给PC1，PC1就可以打开网页，这种上网方式并不是PC1自己访问服务器，而是PC2，PC2就是PC1的代理服务器

 

 BurpSuite其实本身就是一个代理软件，让本地浏览器通过自己上网，抓包

打开软件，勾选复选框

 

 自己的浏览器找到代理选项，如下图设置，不同的浏览器代理所在位置不一样

 

 火狐的在网络设置里

 

 Intercept：拦截            我们常用的就是这个     Forward：放行     Drop：丢弃       Intercept  is  on：拦截开启

 

 抓到的包里想要详细看就双击

 

 详细界面如下，分为Request，Response，和前面所学完美对应

一直在这个页面，自己的网站无法跳转，点forward放行，自己的网站才能进行跳转

这个功能也常用，是解码，解码成什么样，右边有选项

还可以加密

 

 在HTTP history里，找到POST方法登录界面，右键如下选择

 

 我们可以在这里对密码啥的进行修改，再点击go，右框3就会有响应

 

Intruder自动爆破，这是在我之前提到的那个博客里用到的

  

---

brupsuite导入证书支持https访问

问题：访问百度这些https协议加密的显示证书不信任

解决方法：

在浏览器中输入127.0.0.1，点击②

 

 下载，点击保存

 

 下完以后点击浏览器的选项

 

 ①—②

 

 ①—②

 

 选择刚才下载的导入，导入完成以后就有如下显示

 

 问题解决

Over~~~