项目4 安全工具实践.pptxVIP

Web安全基础及项目实践郑丽

项目4安全工具实践任务1Fiddler工具实践任务2SQLMap工具实践任务3BurpSuite工具实践任务4Nmap扫描工具实践任务5AWVS工具实践

项目4安全工具实践项目导读浏览器通过HTTP协议与Web服务器进行交互，如果攻击者在数据到达服务器之前进行拦截或篡改，会造成严重的后果。所以，要研究Web安全，就需要了解HTTP协议，进而保护客户端与服务器之间的通信。本项目将会对HTTP协议相关内容进行详细介绍，包括HTTP协议、统一资源定位符（URL）、Wireshak软件抓包、HTTP报文、HTTP请求与响应，最后使用Curl和Telnet来发送HTTP请求。

项目4安全工具实践教学目标了解HTTP协议内涵了解统一资源定位符掌握HTTP请求与响应熟悉HTTP报文熟练使用CURL和Telnet发送HTTP请求

任务1认识HTTP协议任务描述HTTP协议是HyperTextTransferProtocol（超文本传输协议）的英文缩写，是用于从万维网（WWW，WorldWideWeb）服务器传输超文本到本地浏览器的传输协议。要学习Web安全，必然就需要了解HTTP协议。本任务会对HTTP协议和统一资源定位符进行介绍，然后使用Wireshark软件进行网络抓包以分析HTTP请求-响应模式。环境：Windows10系统，Wireshark软件，Chrome浏览器。

任务1认识HTTP协议任务要求了解HTTP协议了解统一资源定位符熟悉Wireshark软件的使用掌握HTTP请求-响应模式

知识链接HTTP协议概述在1990年，HTTP就成为WWW的支撑协议。当时由其创始人WWW之父蒂姆·贝纳斯·李（TimBerners—Lee）提出，随后WWW联盟（WWWConsortium）成立，组织了IETF（InternetEngineeringTaskForce）小组进一步完善和发布HTTP协议。HTTP协议目前使用最广泛的是HTTP/1.1版本。HTTP诞生之初主要是应用于WEB端内容的获取，随着互联网的发展和WEB2.0的诞生，WEB内容变得越来越复杂。HTTP协议客户端的实现程序主要是WEB浏览器，例如GoogleChrome、InternetExplorer、Firefox等。WEB服务器使用的是HTTP协议，因为WEB服务是基于TCP的，为了能够随时响应客户端的请求，WEB服务器需要监听80/TCP端口，这样客户端浏览器和WEB服务器之间就可以通过HTTP协议进行通信了。

知识链接HTTP协议的特点有：简单快速、灵活、无连接、无状态。简单快速：HTTP服务器的程序规模小，通信速度快，浏览器只需要向服务器传送请求的方法和路径即可请求Web服务器的服务。灵活：HTTP可以传输任意类型的数据对象。无连接：客户端发送的每次HTTP请求都需要服务器回送响应，HTTP在每次请求结束后都会主动释放连接。从建立连接到关闭连接的过程称为“一次连接”。无状态：HTTP协议是无状态协议，也就是说HTTP协议对事物处理没有记忆能力，如果后续事物处理需要前面的信息，则必须进行重传。

知识链接3.统一资源定位符统一资源标识符（UniformResourceIdentifier，简称URI）是一个用于标识某一互联网资源名称的字符串，统一资源定位符（UniformResourceLocator，简称URL）是信息资源在网上的唯一地址，也就是网络地址，URL是一种URI。URL的一般语法格式为：scheme://host:port/path;parameters?query#fragment。URL最重要的三个部分是scheme、hostname和path。以:8080/details/index.asp?key=abcpage=1#name为例，URL格式的详细说明如下。（1）scheme：指定使用的传输协议，在Internet中可以使用多种协议，如HTTP、FTP等，最常用的是HTTP协议，也是WWW中应用最广的协议，如本例中使用的就是HTTP协议。（2）host：主机。如本例中的，host是指存放资源的服务器的域名系统主机名，也可以是IP地址。如上例也可用IP地址来代替主机名，则URL为00:8080/details/index.asp?key=abcpage=1#name。

知识链接（3）port：端口号。域名后面的是端口号，端口号和域名之间使用冒号“：”来进行分隔，如本例中的8080就是端口号。端口号是可选的，如果没有明确写出来，则使用默认端口号，如HTTP的默认端口是80。（4）path：路径。包括虚拟目录和文件名两部分。虚拟目录是从域名后的第一个“/