HTTP Basics / Lesson 1
概念
本课介绍了浏览器和网络应用程序之间数据传输的基础知识,以及如何用HTTP代理来捕获一个请求/响应。
目标
用户应该通过操作上面的按钮来熟悉WebGoat的功能,查看提示、显示HTTP请求参数、HTTP请求cookies和Java源代码。您也可以首次尝试使用OWASP Zed攻击代理。
HTTP是如何工作的:
所有的HTTP交易都遵循相同的一般格式。每个客户端请求和服务器响应都有三个部分:请求或响应行、header部分和body。
客户端发起交易的方式如下:
- 客户端联系服务器并发送一个文件请求。一个GET请求可以有url参数,这些参数将在网络访问日志中得到。
- GET /index.html?param=value HTTP/1.0
- 接下来,客户端发送可选的header信息,以告知服务器其配置和它将接受的文档格式。
- User-Agent: Mozilla/4.06 Accept: image/gif,image/jpeg, /
- 在POST请求中,用户提供的数据将跟随可选的header信息,并且不属于POST URL内包含的部分。
HTTP Basics / Lesson 2
在下面的输入栏中输入你的名字,然后按 "Go!"提交。服务器将接受请求,然后返回输入并将其显示给用户,说明了处理HTTP请求的基本原理。
试试吧!
在下面的输入栏中输入你的名字,然后按 "Go!"提交。服务器将接受请求,然后返回输入并将其显示给用户,说明了处理HTTP请求的基本原理。
HTTP Basics / Lesson 3
小测验
本课中,WebGoat使用了哪种类型的HTTP命令。是POST还是GET。
-
第一个输入框通过点击"Go!"按钮然后观察浏览器URL的变化来判断是使用了POST请求还是GET请求。观察发现点击"Go!"按钮然后URL没有变化,所以判断为POST请求。
-
第二个输入框需要填写一个magic number,通过Burp Suite的Proxy功能截取请求,开启Proxy监听,然后点击"Go!"按钮,Burp Suite截取到的请求如下图,发现magic number为92。
- 输入后提交通关
加入社群
