WebGoat之HTTP基础

  HTTP Basics(HTTP基础)这个练习可以让我们了解,浏览器和Web程序之间的数据传输,以及如何设置代理捕获数据包。

  1.建立TCP连接在HTTP工作开始之前,Web浏览器首先要通过网络与Web服务器建立连接,该连接是通过TCP来完成的,该协议与IP协议共同构建Internet,即著名的TCP/IP协议族,因此Internet又被称作是TCP/IP网络。HTTP是比TCP更高层次的应用层协议,根据规则,只有低层协议建立之后才能进行更高层协议的连接,因此,首先要建立TCP连接,一般TCP连接的端口号是80。

  浏览器发送其请求命令之后,还要以头信息的形式向Web服务器发送一些别的信息,之后浏览器发送了一空白行来通知服务器,它已经结束了该头信息的发送。

  客户机向服务器发出请求后,服务器会客户机回送应答, HTTP/1.1 200 OK ,应答的第一部分是协议的版本号和应答状态码。

  正如客户端会随同请求发送关于自身的信息一样,服务器也会随同应答向用户发送关于它自己的数据及被请求的文档。

  Web服务器向浏览器发送头信息后,它会发送一个空白行来表示头信息的发送到此为结束,接着,它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据。

  一般情况下,一旦Web服务器向浏览器发送了请求数据,它就要关闭TCP连接,然后如果浏览器或者服务器在其头信息加入了这行代码:Connection:keep-alive

  TCP连接在发送后将仍然保持打开状态,于是,浏览器可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间,还节约了网络带宽。

  接下来点击第二步,页面中中提示:在输入栏输入姓名,然后点击GO提交。服务器将接受请求,反转输入并将其显示给用户,说明处理HTTP请求的基本知识,也可以尝试使用OWASP ZAP攻击代理看到HTTP数据。

  如上图所示,他提示我们是需要POST请求还是GET请求,因为点击提交按钮属于POST请求,所以当然是选择POST啊,而下面需要我们填入的数字,应该在数据包中会有显示,因此我们设置代理,打开BurpSuite进行抓包,查看是否有`magic number`的存在。

  如图,抓到了数据包,在数据包内果然有`magic number`的存在。

  这时已经知道magic number为55,关闭抓包按钮,将55填入第二栏,点击GO。

  1,要有查看数据包内容的习惯,在实际渗透中,一个网页也许你在表面看不出来啥,但是如果认真查看数据包,也许会得到意想不到的效果。