十六天Web应用技术与HTTP协议分析.pdfVIP

第2章Web应用程序技术

Web应用程序使用各种不同的技术实现其功能。本章简要介绍渗透侧试员在Web应用程序时

可能遇到的关键技术。分析HTTP协议、服务器和客户端常用的技术以及用于在各种情形下呈

现数据的编码方案。这些技术大都简单易懂，掌握其相关特性对于向Web应用程序发动有效极

其重要。

3.1HTTP

HTTP(HyperTextTransferProtocol,超文本传输协议)是网使用的通信协议，也

是今天所有Web应用程序使用的通信协议。最初，HTTP只是一个为获取基于文本的静态资源而开发

的简单协议，后来人们以各种形式扩展和利用它.使其能够支持如今常见的复杂分布式应用程序。

HTTP使用一种用于消息的模型:客户端送出一条请求消息，而后由服务器返回一条响应消息。

该协议基本上不需要连接，虽然HTTP使用有状态的TCP协议作为它的传输机制，但每次请求与响应

交换都会自动完成，并且可能使用不同的TCP连接。

3.1.1HTTP请求

所有HTTP消息(请求与响应)中都包含一个或几个单行显示的消息头(header)，然后是一

个强制空白行，最后是消息主体(可选)。以下是一个典型的HTTP请求:

GET/auth/488/YourDetails.ashx?uid=129HTTP/l.1

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Referer:

Accept-Language:zh-cn,zh;q=0.5

User-Agent:Mozilla/4.0(compatible;MSIE8.0;WindowsNT6.1;WDW64;

Trident/4.0;SLCC2;.NETCLR2.0.50727;.NETCLR3.5.30729;.NETCLR

3.0.30729;.NET4.OC;InfoPath.3;.NET4.OE;FDM;。NETCLR1.1.4322)

Accept-Encoding:gzip,deflate

Host:

Connection:Keep-Alive

:SessionId=5870C7lF3FD4968935CDB6682E545476

每个HTTP请求的第一行都由3个以空格间隔的项目组成。

GET：一个说明HTTP方法的动词。最常用的方法为GET，它的主要作用是从Web服务器获取一

个资源。GET请求并没有消息主体，因此在消息头后的空白行中没有其他数据。所请求的URL，

通常由所请求的资源名称，以及一个包含客户端向该资源提交的参数的可选查询字符串组成。

在该URL中，查询字符串以?字符标识，上面的示例中有一个名为uid、值为129的参数。使用的

HTTP版本。因特网上常用的HTTP版本为1.0和1.1,多数浏览器默认使用1.1版本。这两个版本

的规范之间存在一些差异;然而，当Web应用程序时，渗透测试员可能遇到的唯一差异是1.1

版本必须使用Host请求头。

Chapter2WebApplication

Technologies

Webapplicationsuseavarietyofdifferenttechnologiestoachievetheirfunctionality.Thischapterbriefly

introduceskeytechniquesthatpenetrationtestersmayencounterwhenattackingwebapplications.Wewill

analy