图4
HTTP是一个属于应用层的面向对象的协议,因为其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,通过几年的使用与发展,获得不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工做正在进行之中,并且HTTP-NG(Next Generation of HTTP)的建议已经提出。
HTTP协议的主要特色可归纳以下:
1.支持客户/服务器模式。
2.简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法经常使用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不一样。因为HTTP协议简单,使得HTTP服务器的程序规模小,于是通讯速度很快。
3.灵活:HTTP容许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
4.无链接:无链接的含义是限制每次链接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开链接。采用这种方式能够节省传输时间。
5.无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺乏状态意味着若是后续处理须要前面的信息,则它必须重传,这样可能致使每次链接传送的数据量增大。另外一方面,在服务器不须要先前信息时它的应答就较快。
Response消息中的第一行叫作状态行,由HTTP协议版本号, 状态码, 状态消息 三部分组成。
状态码用来告诉HTTP客户端,HTTP服务器是否产生了预期的Response.
HTTP/1.1中定义了5类状态码, 状态码由三位数字组成,第一个数字定义了响应的类别
- 1XX 提示信息-表示请求已被成功接收,继续处理
- 2XX 成功-表示请求已被成功接收,理解,接受
- 3XX 重定向-要完成请求必须进行更进一步的处理
- 4XX 客户端错误- 请求有语法错误或请求没法实现
- 5XX 服务器端错误- 服务器未能实现合法的请求
3.2数据库基础知识
安全测试中常利用数据库的漏洞来进行注入等操做,因此基本的数据库知识是必备的。
3.3必定的代码能力
安全测试每每夹杂着不少白盒类代码审查工做,须要测试人员拥有必定的代码阅读能力,同时,安全测试核心在“教开发人员编安全的代码”,因此既要会测试,又要了解代码修改方式,这也要求了须要有必定的代码能力。
除此之外可能会综合用到不少软件领域的知识,例如要探测系统中的逻辑漏洞,那么必定要求测试人员拥有必定的需求分析能力和设计能力;不少时候咱们须要用到不少工具,包括Burpsuite、webscarab等工具,所以也要求测试人员掌握这些工具的使用和特色,取长补短,共同构建你的测试方案。
4.安全测试原理
这一部分是咱们去测试系统安全的核心所在,这里不作详细叙述,须要你们本身去努力学习,不过把besttest安全测试培训大纲中的相关内容展现在下面,供你们参考:
- web安全入手第一步:解析应用程序!
- 掩耳盗铃--绕过客户端控件的原理及预防
- 不能说的秘密--失效的身份验证机制
- 请君入瓮--会话管理劫持
- 手把手带你SQL注入
- XPATH定位?此次带你XPATH注入!
- 剥茧抽丝见真相--跨站脚本(XSS)
- 卧底的故事:其实我不是XSS--跨站请求伪造(CSRF)
- 思惟迷宫--逻辑缺陷
- 我是灰太狼--社会学攻击
5.相关书籍推荐:
- 模糊测试(安全测试新领域):《模糊测试——强制发掘安全漏洞的利器》
- 安全测试相关电子书籍:http://www.besttest.cn/article.php?id=23