安全基础-HTTP

什么是HTTP？

HTTP即超文本传输协议，是一种详细规定了浏览器和万维网服务器之间互相通讯的规则，它是万维网交换信息的基础。
1991年发布的0.9版
1996年5月，HTTP/1.0 版本发布
1997年1月，HTTP/1.1 版本发布
2015年，HTTP/2 发布

http/1.1

1997年1月，HTTP/1.1 版本发布，一直用到了20年
HTTP/1.1版的最大变化，就是引入了持久链接（persistent connection），即TCP链接默认不关闭，能够被多个请求复用。
客户端和服务器发现对方一段时间没有活动，就能够主动关闭链接。不过，规范的作法是，客户端在最后一个请求时，发送Connection: close，明确要求服务器关闭TCP链接。

如何发起一个http请求

http请求方法：

HTTP1.0定义了三种请求方法： GET, POST 和 HEAD方法。
HTTP1.1新增了五种请求方法：OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

http状态码：

HTTP消息：

BurpSuite：

BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了: Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer

经过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。官方提供免费版和专业版，如下是两个版本的功能对比。

burpsuite运行环境：jdk1.8

Fiddler

Fiddler是一个http协议调试代理工具，它可以记录并检查全部你的电脑和互联网之间的http通信，设置断点，查看全部的“进出”Fiddler的数据（指cookie,html,js,css等文件）。 Fiddler 要比其余的网络调试器要更加简单，由于它不单单暴露http通信还提供了一个用户友好的格式。

https://www.telerik.com/fiddler

推荐书籍：图解HTTP