burpsuite文件突破

20190820 周一

1、描述HTTP协议和HTTPS协议的异同点是什么

http和https都是传递web浏览器和网站服务器之间传递信息的超文本协议

但http不适合传输敏感信息，

http超文本传输，明文传输，https是具有安全性的ssl加密传输协议

http端口为80，https为443端口

http为无连接状态，https是由SSL+http协议构成可进行加密传输，身份认证网络协议，比

http协议安全

2、描述HTTP协议中，常见头部字段信息的含义(包括请求包和响应包)

host: 想访问的主机名

User-Agent: 客户机的软件环境

Accept：客户机支持的数据类型

Accept-Encoding: 客户机支持的数据压缩格式

Accept-Language: 客户机的语言环境

Cookie： 通过cookie向服务器带数据

Connection: 处理完这次请求后是否断开连接还是继续保持连接

referer: 客户机通过referer告诉服务器，它是从哪个资源访问服务器的

HTTP/1.1 200OK 为状态行:显示服务器对请求的处理结果
Cache-Control：no-cache
Pragma：no-cache
服务器通过以上两个头，也就是控制浏览器不要缓存数据
Expires：告诉浏览器把回送的资源缓存多长时间 -1或0则是不缓存

Content-Type：服务器通过这个头告诉浏览器回送数据的类型

Access-Control-Allow-Origin：确认域名访问资源的权限

“X-Content-Type-Options: nosniff” 标头的响应时，此更改会影响浏览器的行为。。

X-XSS-Protection 防范xss，
0是禁用XSS保护，

1是启用XSS保护

1; mode=block：启用XSS保护，并在检查到XSS攻击时，
停止渲染页面（例如IE8中，检查到攻击时，整个页面会被一个#替换）

Location：这个头配合302状态码使用，用于告诉客户找谁。
Server：服务器通过这个头告诉浏览器服务器的类型。
Content-Encoding：服务器通过这个头告诉浏览器数据的压缩格式。
Content-Length：服务器通过这个头告诉浏览器回送数据的长度
Last-Modified：告诉浏览器当前资源的最后缓存时间
Refresh：告诉浏览器隔多久刷新一次
Content-Disposition：告诉浏览器以下载方式打开数据
Transfer-Encoding：告诉浏览器数据的传送格式
ETag：缓存相关的头

200，表示请求正常

302、307，临时重定向

指出被请求的文档已被临时移动到别处，此文档的新的URL在Location响应头中给出。

301 永久重定向

304 未修改

表示客户机缓存的版本是最新的，客户机应该继续使用它。

403 禁止

服务器理解客户端请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置所致。

404 找不到

服务器不存在客户机所请求的资源

500 内部服务器错误

服务器端的CGI,ASP,JSP等程序发生错误

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论，也可以邮件至 zhumeng512@qq.com