2022.1.13实验

锁群管理系统

步骤一:使用Fofa搜索<title=="锁群管理系统 V2.0">并随便打开一个连接地址...尝试登录

步骤二:设置Burpsuite抓取Response数据包并添加如下规则...

在Intercept Server Response框中勾选,然后点Edit,选择

 

点击Forward,出现下面代码

 

 

 然后进行修改,

 

 修改后,重新登录。

 

 

虚拟机之内html怎么直接修改?

1.使用win 10虚拟机,将网络连接设置为仅主机模式连接。打开计算机网络适配器,右击。ipv4设置成为ip地址为192.168.0.2(可随机),子网为255.255.255.255.首选DNS服务器为127.0.0.1.

 

 2.然后cmd窗口输入ipcofig,查询IP地址是否更改为192.168.0.2.

 

 3.打开C:\Windows\System32\drivers\etc\hosts这个路径,然后在文本中添加127.0.0.1 www.baidu.com。然后进行保存。

 

 *如果不能保存的话,选中hosts文件夹右键进行属性安全。在组或用户名ALL APPLICATION PACKAGES点击编辑,然后添加用户名。(cmd中)。下面权限全部选择。然后就可以保存了。

                

 

 4.新建一个文件夹,里面再新建一个文本写人你想显示的话语。更改后缀名(点中查看,选中文件扩展名,设置成html)

 

 

5.然后cmd中输入python2测试,可以的话,输入python2 -m SimpleHTTPServer 80

 

 

6.最后网页搜索www.baidu.com

 

 

 

 

 

 

今日笔记HTTP通信基础

 

 

GET和POST区别

1:URL可见性

i:Get传参方式是通过地址栏URL传递,是可以直接看到get传递的参数,get把请求的数据在URL后通过?连接,通过&进行参数分割。

ii:Post传参方式参数URL不可见,post将从参数存放在HTTP的包体内。

2:传输数据大小

i:Get传递数据是通过URL进行传递,对传递的数据长度是受到URL大小的限制,URL最大长度是2048个字符。

ii:Post没有长度限制。

3:后退页面

Get后退不会有影响,Post后退会重新进行提交

4:缓存

i:Get 请求可以被缓存,请求的记录会留在历史记录中。

ii:Post 不可以被缓存,请求不会留在历史记录。

5:编码方式

i:Get 请求只URL编码。

ii:Post 支持多种编码方式。

6:字符类型

i:Get 只支持ASCII字符。

ii:Post 没有字符类型限制。

 

7:常见的请求头

  • Accept
    • 指定客户端能够接收的内容类型
    • Accept: text/plain, text/html
  • Accept-Charset
    • 浏览器可以接受的字符编码集
    • Accept-Charset: iso-8859-5
  • Accept-Encoding
    • 指定浏览器可以支持的web服务器返回内容压缩编码类型
    • Accept-Encoding: compress, gzip
  • Accept-Language
    • 浏览器可接受的语言
    • Accept-Language: en,zh
  • Cache-Control
    • 指定请求和响应遵循的缓存机制 Cache-Control: no-cache
  • Connection
    • 表示是否需要持久连接 // HTTP 1.1默认进行持久连接
    • Connection: close
  • Cookie
    • HTTP请求发送时,会把保存在该请求域名下的所有cookie值一起发送给web服务器
    • Cookie: role=admin;ssid=1
  • Content-Length
    • 请求的内容长度
    • Content-Length: 348
  • Content-Type
    • 请求的与实体对应的MIME信息
    • Content-Type: application/x-www-form-urlencoded
  • Date
    • 请求发送的日期和时间
    • Date: Tue, 15 Nov 2010 08:12:31 GMT
  • From
  • Host
    • 指定请求的服务器的域名和端口号
    • Host: www.github.com
  • Max-Forwards
    • 限制信息通过代理和网关传送的时间
    • Max-Forwards: 10
  • Range
    • 只请求实体的一部分,指定范围
    • Range: bytes=500-999
  • Referer
  • TE
    • 客户端愿意接受的传输编码,并通知服务器接受接受尾加头信息
    • TE: trailers,deflate;q=0.5
  • Upgrade
    • 向服务器指定某种传输协议以便服务器进行转换(如果支持)
    • Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
  • User-Agent
    • User-Agent的内容包含发出请求的用户信息
    • User-Agent: Mozilla/5.0 (Linux; X11)
  • Via
    • 通知中间网关或代理服务器地址,通信协议
    • Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)

4:常见的响应头

  • Accept-Ranges
    • 表明服务器是否支持指定范围请求及哪种类型的分段请求
    • Accept-Ranges: bytes
  • Access-Control-Allow-Origin
    • 配置有权限访问资源的域
    • Access-Control-Allow-Origin: <origin>|*
  • Age
    • 从原始服务器到代理缓存形成的估算时间(以秒计,非负)
    • Age: 12
  • Allow
    • 对某网络资源的有效的请求行为,不允许则返回405
    • Allow: GET, HEAD
  • Cache-Control
    • 告诉所有的缓存机制是否可以缓存及哪种类型
    • Cache-Control: no-cache
  • Content-Encoding
    • web服务器支持的返回内容压缩编码类型。
    • Content-Encoding: gzip
  • Content-Language
    • 响应体的语言
    • Content-Language: en,zh
  • Content-Length
    • 响应体的长度
    • Content-Length: 348
  • Content-Location
    • 请求资源可替代的备用的另一地址
    • Content-Location: /index.htm
  • Content-MD5
    • 返回资源的MD5校验值
    • Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==
  • Content-Range
    • 在整个返回体中本部分的字节位置
    • Content-Range: bytes 21010-47021/47022
  • Content-Type
    • 返回内容的MIME类型
    • Content-Type: text/html; charset=utf-8
  • Date
    • 原始服务器消息发出的时间
    • Date: Tue, 15 Nov 2010 08:12:31 GMT
  • Expires
    • 响应过期的日期和时间
    • Expires: Thu, 01 Dec 2010 16:00:00 GMT
  • Last-Modified
    • 请求资源的最后修改时间
    • Last-Modified: Tue, 15 Nov 2010 12:45:26 GMT
  • Location
  • Refresh
    • 应用于重定向或一个新的资源被创造,在5秒之后重定向(由网景提出,被大部分浏览器支持)
    • Refresh: 5; url=http://www.zcmhi.com/archives/94.html
  • Server
    • web服务器软件名称
    • Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
  • Set-Cookie
    • 设置Http Cookie Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1
  • Strict-Transport-Security
    • 设置浏览器强制使用HTTPS访问
    • max-age: x秒的时间内 访问对应域名都使用HTTPS请求
    • includeSubDomains: 网站的子域名也启用规则
    • Strict-Transport-Security: max-age=1000; includeSubDomains
  • Trailer
    • 指出头域在分块传输编码的尾部存在 Trailer: Max-Forwards
  • Transfer-Encoding
    • 文件传输编码
    • Transfer-Encoding:chunked
  • Vary
    • 告诉下游代理是使用缓存响应还是从原始服务器请求
    • Vary: *
  • Via
    • 告知代理客户端响应是通过哪里发送的
    • Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
  • WWW-Authenticate
    • 表明客户端请求实体应该使用的授权方案
    • WWW-Authenticate: Basic
  • X-Content-Type-Options
    • 配置禁止MIME类型嗅探
    • X-Content-Type-Options: nosniff
  • X-Frame-Options
    • 配置页面是否能出现在 <frame>, <iframe>, <embed>, <object> 等标签中,防止点击劫持
    • X-Frame-Options: deny
  • X-XSS-Protection
    • 配置XSS防护机制
    • X-XSS-Protection: 1; mode=block

 HTTP响应码

100:继续,客服端应继续其请求

200:请求成功

301:永久移动

302:临时移动

401:要求用户的身份认证

402:保留

500:服务器内部错误

501:服务器不支持请求的功能

posted @ 2022-01-13 20:23  二进制黑洞  阅读(119)  评论(0)    收藏  举报