1、深入理解http请求
常用:
GET GET方法请求一个指定资源的表示形式。使用GET的请求应该只被用于获取数据。
POST POST方法用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用。
我没这么用过的不熟悉的:
HEAD HEAD方法请求一个与GET请求的响应相同的响应,但没有响应体
PUT PUT方法用请求有效载荷替换目标资源的所有当前表示。
DELETE DELETE方法删除指定的资源
CONNECT CONNECT方法建立一个到由目标资源标识的服务器的隧道
OPTIONS OPTIONS方法用于描述目标资源的通信选项。
TRACE TRACE方法沿着到目标资源的路径执行一个消息环回测试
PATCH PATCH方法用于对资源应用部分修改。
2、http响应
常用:
200 #请求成功。一般用于GET与POST请求
404 #服务器无法根据客户端的请求找到资源(网页)。(找不到网页)
500 #服务器内部错误,无法完成请求
HTTP状态码分类
1** #信息,服务器收到请求,需要请求者继续执行操作
2** #成功,操作被成功接收并处理
3** #重定向,需要进一步的操作以完成请求
4** #客户端错误,请求包含语法错误或无法完成请求
5** #服务器错误,服务器在处理请求的过程中发生了错误
3、安装burp抓取https请求
代理=>选项=》添加IP地址127.0.0.1端口8080
浏览器代理 IP地址:127.0.0.1 端口:8080
4、app进行抓包
下载burp证书 cacert.der=》修改证书名字 cacert.cer
安装收集手机模拟器 逍遥模拟器
cmd ipconfig 查看自己的IP地址
burpsuite配置地址:
搞定收工,成功截断
5、了解burp模块的应用
我最常用几个模块
Proxy(代理) #这个模块主要负责拦截的
Intruder(测试器) #这个模块主要负责爆破
Repeater(重发器) #这个模块主要负责重发攻击,测试下一个请求放回的结果。从而找到攻击点