iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 11
0
Security

資訊安全大補帖系列 第 11

資安補帖─Day11─Web Security

前言

今天繼續review Web Security

社團經驗談

  • 會議記錄怎麼管理
    • 自架hackmd管理社團內部會議紀錄

正文

HTTP Request Headers

  • HOST
    • 域名
    • Port號
    • vhost
  • User-Agent
    • 告訴伺服器所使用的瀏覽器、作業系統版本等資訊
    • 伺服器如何切換手機板頁面
      • 利用User-Agent
  • Accept: text/html; text/plain
  • Accept-Encoding: gzip
  • Accept-Language: en
  • Referer
    • 從哪裡轉跳過來
    • 圖片防盜連
    • 許多瀏覽器強制賦予,並不能修改
  • Cookie
    • 網站為了辨識使用者,或者延續上一個或之前的工作狀態,所以會產生一個機制來儲存各個使用者的狀態。
    • 在Server 端稱之為Session
      • 使用javascript 或 Header(set-cookies)設定
    • 存在Client端,叫做Cookie
      • (透過Header送出去,讓Server辨識)
    • 如果可以偽造,就可以提升權限or擁有平行的權限

反向代理 (Request Headers)

  • Client-ip
  • X-Forwarded-For
  • 這兩者是在於反向代理時,讓後端server確認來源ip所加上的header
  • 新增這個header可能可以成功欺騙ip位子

圖來源取自Nginx實戰(五) 反向代理

HTTP Response Headers

  • Server: nginx/apache …

    • 標示 Server 的版本甚至OS的版本
  • Location : http://www.example.com

    • 用來轉跳頁面,通常搭配 301使用
  • Content-Length: 32

    • body 有 32 bytes
  • Content-Type: (MIME type)

    • application/x-www-form-urlencode
    • application/json
    • text/html
    • text/plain
    • multipart/… (boundary needed)

上一篇
資安補帖─Day10─簡單CTF套路工具使用
下一篇
資安補帖─Day12─Python
系列文
資訊安全大補帖53

尚未有邦友留言

立即登入留言