《图解HTTP》读书笔记

1、了解Web及网络基础

DNS:域名系统,ip、域名间转换

URI:统一资源标识符

URL:统一资源定位符,是 URI 子集


2、简单的HTTP协议

告知服务器意图的HTTP方法:GET、POST、PUT、HEAD、DELETE、OPTIONS、TRACE、CONNECT

持久连接节省通信量:持久连接、管线化

使用Cookie管理状态


3、HTTP报文内的HTTP信息

编码提升传输速率:报文主体与实体主体、压缩传输内容的编码(gzip、compress、deflate、identify)、分割发送的分块传输编码

发送多种数据的多部分对象集合:multipart/form-data、multipart/byterange

获取部分内容的范围请求

内容协商返回最合适的内容


4、返回结果的HTTP状态码

2xx:成功

3xx:重定向

4xx:客户端错误

5xx:服务器错误


5、与HTTP协作的Web服务器

单台虚拟主机实现多个域名

通信数据转发程序:代理、网关、隧道

保存资源的缓存


6、HTTP首部

通用首部字段

请求首部字段

响应首部字段

实体首部字段

为cookie服务的首部字段


7、确保Web安全的HTTPS

HTTP + 加密 + 认证 + 完整性保护 = HTPPS


8、确认访问用户身份的认证

认证信息:密码、动态令牌、数字证书、生物认证、IC卡

BASIC认证

DIGEST认证

SSL客户端认证

基于表单认证


9、基于HTTP的功能追加协议

SPDY:消除HTTP瓶颈

WebSocket:使用浏览器进行全双工通信

WebDAV:Web服务器管理文件


10、构建Web内容的技术

HTML:超文本标记语言

动态HTML

Web应用:CGI、Servlet

数据发布的格式与语言:XML(可扩展标记语言)、RSS/Atom、JSON


11、Web的攻击技术

针对web的攻击技术:

主动攻击:SQL注入攻击、OS命令注入攻击

被动攻击:跨站脚本攻击、跨站点请求伪造

因输出值转义不完全引发的安全漏洞:

跨站脚本攻击(XSS)

SQL注入攻击(SQL Injection)

OS命令注入攻击(OS Command Injection)

HTTP首部注入攻击(HTTP Header Injection)

邮件首部注入攻击(Mail Header Injection)

目录遍历攻击(Directory Traversal)

远程文件包含漏洞(Remote File inclusion)

因设置或设计上的缺陷引发的安全漏洞:

强制浏览(Forced Browsing)

不正确的错误消息处理(Error Handling Vulnerability)

开放重定向(Open Redirect)

因会话管理疏忽引发的安全漏洞:

会话劫持(Session Hijack)

会话固定攻击(Session Fixation)

跨站点请求伪造(CSRF)

其他安全漏洞:

密码破解(Password Cracking):密码试错、穷举法、字典攻击、彩虹表、拿到秘钥、加密算法漏洞

点击劫持(Clickjacking)

DoS攻击(Denial of Serveice attack)

后门程序(Backdoor)

 

posted @ 2017-10-11 20:59  heaventouch  阅读(189)  评论(0编辑  收藏  举报