HTTP协议分析

URL即统一资源定位符：用来唯一地表示万维网中的某一个文档；URL由协议、主机端口、文件名三个部分构成

GET / HTTP/1.1 //请求行
host（发送请求时，该头域是必须的）主要用于指定被请求资源的internet主机和端口号，它通常从http URL中提取出来的。HTTP/1.1请求必须包含主机头域，否则系统会以400状态码返回

Host: www.qq.com //请求头
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0 //客户端使用的操作系统和浏览器的名称和版本Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: pgv_pvi=5291555840; pt2gguin=o1318886707; RK=eKWWxN8bZU; 最重要的请求头之一，将cookie的值发送给http服务器

Connection: keep-alive
Upgrade-Insecure-Requests: 1

DNS劫持交互过程

HTTP请求方法:

http响应也是由三个部分组成，分别是:状态行、消息报文、响应正文
1、状态行格式如下:
http-version表示服务器http协议的版本
status-code表示服务器发回的响应状态代码
reason-phrase表示状态代码的文本描述

701账户过期
773用户必须重置密码
775用户账号锁定

HTTP与HTTPS之间的不同点
http封堵对象的获取:针对HTTP是获取三次握手后的GET请求包中的HOST字段来识别服务器
https是在第四次握手的第一阶段，获取客户发送Client hello包中的Servername字段来识别服务器
封堵行为:针对HTTP是先发送重定向包，再发送RST；针对HTTPS是直接发送RST结束TCP连接不发重定向包

WEB入侵流程
信息收集——>漏洞扫描——>渗透攻击——>提权/挂黑链——>后渗透攻击——>持续控制
入侵方法:
1、通过web脚本或框架的漏洞获取webshell
2、通过获取cms内容管理系统的
后台账号密码并登录
3、通过数据库开放的端口作为入口，**或猜解进入
4、通过web脚本或框架漏洞获取敏感权限或数据
导致现象:上传webshell、上传广告黑链、植入恶意挂马链接