简单使用BurpSuite及请求包、响应包的格式和含义.pdf

简简单单使使⽤⽤BurpSuite及及请请求求包包、、响响应应包包的的格格式式和和含含义义

⼀、HTTP协议基础

HTTP：HyperTextTransferProtocol，超⽂本传输协议

1.协议特点：

简单速，请求⽅式getposthead等8中请求⽅式

⽆连接（⼀次请求就断开）⽆状态（没有记忆功能，不会记录任何信息）

2.⽀持的模式：B/S、C/S（websocket进⾏通信）

⼆、HTTP的请求包

1.请求包格式：reuest=请求⾏（请求⽅式URL协议/版本）+请求头（形势都为ket:value）+空⾏+请求数据（若此处为空，请求包的请求

⽅式为get，数据存放在URL中，若有数据，则说明该请求⽅式为post）

2.请求⽅式：

http1.0版本：GETPOSTHEAD

http1.1版本：GETPOSTHEADOPTIONSDELETETRACECONNECTPUTPATCH

⽅法描述

GET请求指定的页⾯信息，并返回实体主体

向指定资源提交数据进⾏处理请求（例如提交表单或者上传⽂件）。

POST

数据被包含在请求体中。POST请求可能会导致新的资源的建⽴和或已有资源的修改

HEAD类似于GET请求，只不过返回的响应中没有具体的内容，⽤于获取报头

OPTIONS允许客户端查看服务器的性能

DELETE请求服务器删除指定的页⾯

TRACE回显服务器收到的请求，主要⽤于测试或诊断

CONNECTHTTP/1.1协议中预留给能够将连接改为管道⽅式的代理服务器

PUT从客户端向服务器传送的数据取代指定的⽂档的内容

PATCH是对PUT⽅法的补充，⽤来对已知资源进⾏局部更新

（表格来源：，感谢！）

GET和POST请求⽅式的⽐较：

相同点：

1.

1.都可以创建数组array，数组包含键值对（key=value），其中的键为表单控件的名称，值为⽤户输⼊的数据

2.分别被视为$_GET和$_POST，是超全局变量

不同点：

1.

1.GET型⽅式：将⽤户发送的数据拼接到URL中，并且发送的数据量较⼩，不安全

2.POST型⽅式：参数放在请求包中的请求数据中，查看必须使⽤⼯具查看，发送的数据量较⼤，安全性较⾼

三、HTTP的响应包

响应包：⽤户发送的请求包达到服务器后，要去处理该请求，把处理之后的结果发送给⽤户浏览器，我们将该结果称为响应包，

⽤response表⽰

1.响应包格式：response=状态⾏（协议/版本状态码）+消息报头+空⾏+响应正⽂（也叫做响应内容，是由HTML+CSS+JS组成的响应正

⽂）

2.状态码

状态码由三位数字组成，第⼀位数字表⽰响应的类型，共有5种类型：

1xx：表⽰服务器已经接受到请求并且需要继续处理

2xx：表⽰服务器已经成功接受到请求，并处理了该请求

3xx：表⽰重定向，URL要跳转到其他页⾯去请求

4xx：表⽰⽤户请求由问题

5xx：表⽰服务器内部出错

3.常见状态码：

200OK

表⽰请求被服务器正常处理

302Found

临时重定向，表⽰请求的资源临时搬到了其他位置

304NotModified

表⽰客户端发送附带条件的请求时，条件不满⾜

400BadReuest

表⽰请求报⽂存在语法错误或参数错误，服务器不理解

403Forbidden

表⽰对请求资源的访问被服务器拒绝了

404NotFound

表⽰服务器找不到你请求的资源

500InternalServerError

表⽰服务器执⾏请求的时候出错了

四、URL

URL：uniformresourcelocator，统⼀资源定位系统，在⽹络中⽤来表⽰某处的资源

URL格式：

（锚部分）

parameter=dealid=35两个参数

参数从？后⾯开始的，第⼀个参数和第