Web安全测试—HTTP基础

　　为什么要了解HTTP基础知识？原因在于，了解了HTTP的基础知识，不光对测试本身来说很重要，对于Web安全测试也是尤其的重要。

　　HTTP使用客户端/服务器结构

　　客户端发出请求，服务器做出响应，这是最基本的方式，同样也不存在其他的方式。服务器不可能做出没有请求，就向客户端发送数据响应的情况。如果在没有单击或明确发出请求，就收到服务器响应的数据，那通常是开发人员通过编程的形式来轮询服务器，不时地或特定时间发出定期请求。

　　HTTP是无状态的

　　HTTP协议本身不包含任何“状态”的概念。一个连接与任何其他连接之间不存在任何关系。假设现在单击一个链接，10分钟后或1秒后，单击另一个链接，服务器完全不知道是同一个人发出了这两个请求。HTTP协议本身不能确定这两个请求间的关联。只能是应用本身在管理会话并确定连接间的关联关系。

　　IP地址也是不能判定多个请求的关联关系的，因为很多情况下，多台计算机或设备同时连接着相同的Internet连接（相同的IP地址），同时该网络上的某种路由器使用 网路地址转换（NAT）的技术来隐藏多少台计算机或设备在使用相同IP地址这一信息。

　　Cookie是会跟踪会话和状态的。大多数情况下，Cookie由于频繁地被用于跟踪会话和状态信息，所以成为了测试的焦点。没能正确地跟踪会话和状态是许多安全问题的根本原因。

　　HTTP使用简单文本

　　通过电缆（或无线）传送的真实消息并全面了解正在发生的事情。HTTP很容易捕获，也非常容易被人解释和理解。更重要的一点，因为简单，所以HTTP请求非常容易伪造。