安全基礎-HTTP

什麼是HTTP？

HTTP即超文本傳輸協議，是一種詳細規定了瀏覽器和萬維網服務器之間互相通訊的規則，它是萬維網交換信息的基礎。
1991年發佈的0.9版
1996年5月，HTTP/1.0 版本發佈
1997年1月，HTTP/1.1 版本發佈
2015年，HTTP/2 發佈

http/1.1

1997年1月，HTTP/1.1 版本發佈，一直用到了20年
HTTP/1.1版的最大變化，就是引入了持久鏈接（persistent connection），即TCP鏈接默認不關閉，能夠被多個請求複用。
客戶端和服務器發現對方一段時間沒有活動，就能夠主動關閉鏈接。不過，規範的作法是，客戶端在最後一個請求時，發送Connection: close，明確要求服務器關閉TCP鏈接。

如何發起一個http請求

http請求方法：

HTTP1.0定義了三種請求方法： GET, POST 和 HEAD方法。
HTTP1.1新增了五種請求方法：OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

http狀態碼：

HTTP消息：

BurpSuite：

BurpSuite是一款信息安全從業人員必備的集成型的滲透測試工具，它採用自動測試和半自動測試的方式，包含了: Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer

經過攔截HTTP/HTTPS的web數據包，充當瀏覽器和相關應用程序的中間人，進行攔截、修改、重放數據包進行測試，是web安全人員的一把必備的瑞士軍刀。官方提供免費版和專業版，如下是兩個版本的功能對比。

burpsuite運行環境：jdk1.8

Fiddler

Fiddler是一個http協議調試代理工具，它可以記錄並檢查全部你的電腦和互聯網之間的http通信，設置斷點，查看全部的「進出」Fiddler的數據（指cookie,html,js,css等文件）。 Fiddler 要比其餘的網絡調試器要更加簡單，由於它不單單暴露http通信還提供了一個用戶友好的格式。

https://www.telerik.com/fiddler

推薦書籍：圖解HTTP