一、HTTP簡介

HTTP(超文本傳輸協議)是今天所有web應用程序使用的通信協議。最初，HTTP只是一個為獲取基于文本的靜態資源而開發的簡單協議，后來人們以名種形式擴展和利用它.使其能夠支持如今常見的復雜分布式應用程序。HTTP使用一種用于消息的模型:客戶端送出一條請求消息，而后由服務器返回一條響應消息。該協議基本上不需要連接，雖然HTTP使用有狀態的TCP協議作為它的傳輸機制，但每次請求與響應交換都會自動完成，并且可能使用不同的TCP連接。

二、HTTP請求

• get:一個說明HTTP方法的動詞。最常用的方法為GET，它的主要作用是從Web服務器獲取一個資源。post head options put
• Accept:瀏覽器支持的 MIME 類型分別是 text/html、application/xhtml+xml、

application/xm| 和 */*

• MIME:多功能Internet郵件擴充服務Text:用于標準化地表示的文本信息，文本消息可以是多種字符集和或者多種格式的;

text/html表示 html 文檔;

• Application:用于傳輸應用程序數據或者二進制數據;

application/xhtml+xml表示xhtml文檔;

application/xml表示 xml 文檔。

• Referer:消息頭用于表示發出請求的原始URL。
• Accept-Language:瀏覽器支持的語言，zh-cn表示簡體中文;zh表示中文;
• User-Agent:消息頭提供與瀏覽器或其他生成請求的客戶端軟件有關的信息。
• Host:消息頭用于指定出現在被訪問的完整URL中的主機名稱。
• Cookie:消息頭用于提交服務器向客戶端發布的其他參數
• Httponly：如果設置這個屬性，將無法通過客戶端]avaScript直接訪問cookie.
• Connection:表示持久的客戶端與服務連接。connection:keep-alive
• X Forrwarded For:是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。
• User-Agent:這個消息頭提供與瀏覽器或生成請求的其他客戶端軟件有關的信息。
• Location:這個消息頭用于在重定向響應(那些狀態碼以3開頭的響應)中說明重定向的目標

三、常見的HTTP狀態碼

• 200 Ok：本狀態碼表示已成功提交請求，且響應主體中包含請求結果
• 302：本狀態碼將瀏覽器暫時重定向到另外一個在Location消息頭中指定的URL.客戶端應在隨后的請求中恢復使用原始URL。
• 400 Bad Request：本狀態碼表示客戶端提交了一個無效的HTTP請求。當以某種無效的方式修改請求時（例如在URL中插入一個空格符），可能會遇見這個狀態碼。
• 404 Not Found：本狀態碼表示所請求的資源并不存在。
• 500 Internal ServerError：本狀態碼表示服務器在執行請求時遇到錯誤。

四、常見考點

1、Method

Change request method

GET請求被過濾器或WAF攔截，可轉換成POST請求繞過檢測

2、User-Agent

據說信息安全小組最近出了一款新的瀏覽器，叫HAHA瀏覽器有些題目必須通過HAHA瀏覽器才能答對。小明同學堅決不要裝HAHA瀏覽器，怕有后門，但是如何才能過這個需要安裝HAHA瀏覽器才能過的題目呢 ?

將User-Agent寫成User-Agent：HAHA進行訪問即可

3、Location

重定向響應如：網址/index_no_key.php

4、Referer

比賽官方地址

本地地址:localhost、127.0.0.1

或根據題目提示獲取Referer

將題目中的網址添加到消息頭中如：Referer：127.0.0.1進行重發即可

5、X-Forwarded-For

小明掃描了他心愛的小紅的電腦，發現開放了一個80端口，但是當小明去訪問的時候卻發現只允許從本地訪問，可他心愛的小紅不敢讓這個詭異的小明觸碰她的電腦，可小明真的想知道小紅電腦的80端口到底隱藏著什么秘密(key)?

跟Referer差不多，用X-Forwarded-For：127.0.0.1進行重發即可

6、Accept-Language

小明同學今天訪問了一個網站，竟然不允許中國人訪問!太坑了，于是小明同學決心一定要進去一探究竟!

將Accept-Language：zh-cn改成外國Accept-Language：en-us重發即可

7、Cookie

小明來到一個網站，還是想要key，但是卻怎么都登陸不了，你能幫他登陸嗎?

找到Cookie即將他賦值如Cookie：Login=1重發即可

8、自定義首部字段

Key就在這里，猜猜這里是哪里呢?(Web找key加強版)

重發即可，仔細查看即可

五、burp使用

六、goby、xray