HTTP协议学习

应用层协议：HTTP
本章将学习http
一、URL：统一资源定位符
用以定位互联网中服务器/主机上的具体资源，如文档、图片、视频、音频等
用户在浏览器上通过URL请求以获取互联网上各种资源
URL=协议://域名:端口/资源路径?参数#片段标识符
协议：定义双方通信的规则
在BS架构中，是浏览器与web服务器之间通信的规则，如：HTTP/HTTPS
在CS架构中，是客户端与服务器端通信的规则，如：SMTP，FTP等
域名：服务器或者主机名称，通过DNS系统解析为对应的IP地址，从而定位互联网中服务器的位置。
端口：标识服务器上的应用程序，在URL中如果是协议的默认端口可以省略，例如：http：80，https：443。
资源路径：服务器上资源的具体位置。
?参数：浏览器传给服务器端额外的信息，键值对表示，key=value，多个参数之间&符号连接
#片段标识符：也称锚点，用于定位服务器web页面中的某一个具体位置。
案例：https://www.baidu.com/s?ie=UTF-8&wd=淘宝
https://s.taobao.com/search?q=电脑&spm=a21bo.jianhua%2Fa.201867-main.d2_first.5af92a89aLQP3N
https: 协议
s.taobao.com：域名
端口：https的默认端口，因此省略了443
/search： 资源路径
?q=%E7%94%B5%E8%84%91：参数q=%E7%94%B5%E8%84%91（电脑转义后的字符）

二、HTTP：超文本传输协议
定义：是浏览器与web服务器之间通信的规则：用户浏览器发出的URL请求，通过互联网发送到web服务器端，
web服务接收请求后做出将HTML（超文本标记语言）的数据报文传输给浏览器的响应，报文最终由浏览器渲染为画面呈现给用户。
数据报文格式：键值对形式表示，分为请求报文和响应报文
报文头部与报文数据实体之间会有空行，用以区分
http请求报文：请求行，请求头部，请求数据
请求行：包含请求方法，URL的资源路径和参数，HTTP版本信息
请求头部：包含客户端的信息，例如使用的浏览器，主机等等信息
请求数据主体：get请求无数据主体，请求参数拼接在URL里。post请求存放有表单数据
常见有get与post两种请求报文
Get：去服务器上获取资源，参数是拼接URL，长度有限制的
Post：将账户等信息提交给服务器端，请求存放数据实体，长度没有限制

http响应报文：响应(状态)行，响应头部，响应数据
状态码：1xx：信息，2xx:200 成功 3xx: 重定向 4xx：404客户端url错误或者请求资源不存在，5xx：服务器内部错误码
特点：
简单灵活：用户只需要输入URL即可获取web服务器资源
无状态协议：每次URL请求都是独立，web服务器没有记忆，不会记录历史访问状态。需要通过cookie、session状态管理
明文传输：不加密，不安全

三、代理与VPN
代理与VPN本质上都是中间人角色。
代理服务器：客户端的请求不直接发送给目标服务器，而是发送给中间代理服务器，由代理服务器发送给目标服务器。
例如国外的一些网站无法直接访问，可以通过代理服务器访问。
VPN服务器：客户端的请求不直接发送给目标服务器，而是将请求通过加密后发送给VPN服务器，VPN服务器解密后，将请求发送给目标服务器。
例如在家办公，利用VPN访问企业内网资源。

四：BurpSuite 中间人代理工具
用于拦截、查看、修改客户端与服务器端之间的http/https请求的工具。

五、靶机环境实现0元购实验
声明：以下仅在个人靶机实验环境下进行操作，请遵守网络安全法律法规。
靶机：windows server2003 IIS 07
工具：BurpSuite、火狐浏览器、foxyproxy
foxyproxy为火狐浏览器作为代理用的扩展应用

1、准备靶机环境，将windows server2003解压，并使用VMware打开.vmx结尾文件
注意：解压路径不要有中文，然后不要有空格等。
2、解压配置启动BurpSuite软件
3、火狐浏览器扩展和主题里安装添加上foxyproxy standard
4、在BP和foxyproxy中分别添加代理配置127.0.0.1和端口8080，注意两者要一致


5、本机火狐浏览器访问测试：http://127.0.0.1:8080，将证书下载并安装到计算机里
6、将靶机里网站07属性配置IP地址和修改为靶机的IP
7、本机火狐浏览器访问测试：http://靶机IP，在商城页面点击购买商品，但是不确认提交订单
9、开启bp以及火狐浏览器里的foxyproxy后，再提交订单。
10、在bP里修改数据包，将最终付款金额修改为0元后放行。

11、最后订单界面最终需要支付金额为0元

实验过程遇到问题：
在foxyproxy中设置代理时，点击选项后出现如下提示：

报错经百度查询是火狐浏览器里的代理设置导致的。
从火狐浏览器设置》》网络设置里使用了系统代理设置。将其设置为不使用代理服务器即可。