【运维安全】- 渗-透流程/HTTP请求 02

课堂笔记

shentou： 渗、透就是模拟黑、客攻、击找到企业程序中的漏洞。
分类：
白帽：查找企业漏洞提交修复
黑帽：这类人可能有背景或者其它利益相关会,查找漏洞并且深入获取信息

常规渗、透：
保密协议
针对性目标测试
指定范围测试。
非常规渗、透：
APT***、红蓝对抗

***流程：
如图：

HTTP请求基础
参考资料《http图解》
超文本传输协议
http 0.9 get 1991年发布的0.9版
http 1.0 get post head 1996年5月版本发布
http 1.1 增加了options、put、delete、trace、connect等6个。特性持续连接，建立tcp。 1997年1月发布版本
curl、telnet 都是可以发送请求的
扫描器主要是请求head进行扫描
iis6，有put漏洞，可以直接上传***
2015年，HTTP/2 发布

http:请求方法
HEAD
GET
POST
OPTIONS
PUT
DELETE
CONNECT
TRACE

http状态码：
1xx
2xx
3xx
4xx
5xx

http消息：