HTTP-запросы, Pentest, Тестирование на проникновение

#1 Тестирование веб-приложений. HTTP-запросы.

Здравствуйте, дорогие друзья.

В этой статье мы рассмотрим некоторые основные термины, которые Вам нужно знать, чтобы понять данный материал.

Первое, что я хочу, чтобы Вы знали – это некоторые из основных терминов. Возьмем термин «HTTP».

HTTP – это протокол передачи гипертекста. Он, в основном используется на всех страницах Вашего веб-сайта. Можем перейти на любой сайт, и в адресной строке URL мы можем видеть протокол в виде «http://», либо «https://»:

https://

Разница между «http://», и «https://» в том, что в «https» присутствует SSL-сертификат, и это является безопасным. Данные передаются в зашифрованном виде.

В протоколе «http://» существует незащищенное соединение, позволяющее перехватывать данные в открытом виде, что не безопасно. Злоумышленник может провести атаку «MITM» (Man in The Midlle) – человек посередине, и перехватывать пакеты.

Всегда проверяйте URL сайта, на который Вы переходите, и тем более, когда вводите критическую информацию, такую как логины и пароли, номера кредитных карт и т.д. Теперь рассмотрим заголовки: «http headers»:

http headers

Как видим в шапке скриншота указан метод передачи «GET», путь к странице «path», и «protocol» — HTTP/1.1.

В описании заголовка присутствуют параметры, такие как «Host», «User-Agent», «Accept» и т.д.

Все они передаются серверу, который их обрабатывает и возвращает ответ.

Также обратите внимание на кодировку символов –это «utf-8», что актуально для нас.

Итак, ценная информация для нас – это файлы cookie, перехватив которые, можно авторизироваться на сайтах от имени пользователя, у которого были похищены данные. Cookie – это временное значение, которое используется для хранения информации в текущем сеансе. Таким образом, без файлов cookie, сервер после каждого запроса забывал бы, кто мы,  и не знал бы наш логин и пароль для входа на сайт (например).

Сам файл «cookie» представляет собой случайное значение чисел и символов, которые практически невозможно подобрать.

Для понимания HTTP— запросов, необходимо иметь знания в языке гипертекствовой разметки HTML. Таким образом, запрос HTTP – это то, что мы отправляем на сервер, после чего сервер отправляет нам ответ на запрос.

На этом все. Всем хорошего дня!