【HTTP(3)】(状态码,https)

【认识状态码】

状态码最重要的目的,就是反馈给浏览器:这次请求是否成功,若失败,则出现失败原因

常见状态码:

200:OK,表示成功

404:Not Found,浏览器访问的资源在服务器上没有找到

403:Forbidden,访问被拒绝(没有权限)

405:Method Not Allowed,方法不支持

500:Internal Server Error服务器内部错误

504:Gateway TimeOut,超时,服务器出问题了,响应没有在规定的时间内返回

302:Found,特殊的状态码,重定向,访问A网站自动跳转到B网站,响应中就会返回302这样的状态码,并且在响应头中添加Location属性(包含了B网站的地址)

总结:

状态码中2开头的,都是成功

4开头的,都是客户端这边出问题

5开头的,都是服务器端这边出问题

【https】

【https概念】

也是一个应用层协议,http协议内容都是按照文本方式明文传输的,这就导致在传输过程中出现一些被篡改的情况,可能会出现「运营商劫持」,一些情况下想下载的内容被偷偷替换为别的内容

如何解决?进行加密

https,在http协议的基础上引入了一个加密层,传输时内容被进行了加密,也是通过密文传输的

【密码的核心概念】

明文:要传输的原始数据

密文:把明文进行加密后得到的一个让别人不能理解的数据

加密:明文—>密文

解密:密文—>明文

密钥:进行加密和解密的重要数据/辅助工具

【对称加密,非对称加密】

两类加密算法

对称加密:无论是加密还是解密,都使用同一个密钥

非对称加密:有一对密钥A和B,使用A加密,就使用B解密,或者使用B加密,就使用A解密

大多时候一对密钥有一个密钥是公开的

公开出来的密钥,称为“公钥”,私藏起来的密钥,称为“私钥”

【https基本工作过程】

首先要注意,https只是在http的基础上引入加密机制,所以除了加密部分其他部分和http一模一样

如果中间的路由器被黑客入侵,此时黑客就可以通过路由器抓包明确地看到传输的数据是什么样子,一旦明确了数据,此时既可以知道数据要干什么,也可以篡改这里的数据

为了解决这样的问题,可以引入对称加密

但客户端和服务器交互过程中,一个服务器对应多个客户端,多个客户端是使用同一个还是不同的密钥?

必须不用,若大家密钥都相同,黑客只需要自己搞一个客户端,就也能知道密钥是什么

按照这样的方式,密钥明文传输给服务器,此时黑客就可能截获到这个密钥,后续的加密形同虚设,因此,通过对称加密,数据就是不安全的

为了让数据安全,可以引入非对称加密

通过非对称加密,对要传输的对称密钥进行加密,需要注意的是,非对称加密存在的目的不是为了取代对称加密,而是“辅助”

业务数据仍然是对称加密传输,而非对称加密只用来传输对称密钥

不取代是因为非对称加密的运算开销大,比较消耗性能,因此只用来加密运算开销小且很关键的对称密钥

【中间人攻击】

上述流程中存在严重缺陷

1.服务器会生成一对公钥私钥pub1和pri1,其中pub1是公开的,pri1自己保存好

2.客户端这边首先给服务器发起一个请求,问服务器公钥是什么,服务器收到了请求,就返回了“公钥是pub1”

3.此时中间的黑客就可以自机生成一对非对称密钥pub2和pri2,然后黑客就会把服务器返回给客户端的响应替换成“公钥是pub2”,变成黑客自己的公钥了

客户端是不清楚当前这个公钥是不是真的,只能选择相信

4.客户端使用pub2针对对称密钥加密,于是就把加密后的数据传输给服务器

5.中间的黑客劫持到上述数据,就可以利用对称密钥的特性,使用自己的pri2针对数据进行解密,得到了对称密钥的内容

随后黑客把拿到的对称密钥内容通过服务器的pub1重新加密,进行伪装,发送给服务器

服务器也不知道这个数据是不是做了手脚,因此服务器就认为和客户端已经把密钥交流完毕了,接下来应该传输数据了

6.接下来双方传输的数据就都能被黑客以对称密钥解密出来

因此,黑客的设备可以在客户端面前假扮服务器,在服务器面前假扮客户端,演技足够好就可以骗过双方,获取到双方传输的业务数据

如何避免中间人攻击?

引入证书机制

产生中间人攻击主要是因为客户端不知道服务器发过来的公钥是不是被伪造的,问题的关键是,能让客户端识别出拿到的公钥是不是正确合理的,不是伪造的公钥

如何证明公钥合理?

引入第三方公证机构

在公证机构这里申请「证书」(是电子的一串数据)

申请的时候就需要提交一些资料(网站域名,备案号等,以及最重要的公钥)

公证机构可以根据这些信息生成一个「证书」

服务器申请到证书后,后续客户端从服务器拿公钥,就不是只拿公钥,而是拿整个证书

此时,客户端就可以凭借证书中的数字签名对证书的合法性进行验证

【客户端验证数字签名流程】

1.客户端把证书中各个字段,再算一次校验和,得到checksum1

2.客户端使用公证机构的公钥,对数字签名进行解密,得到checksum2

3.对比checksum1和checksum2

若相等,视为当前证书各个字段和服务器这边的证书相同,就可以认为这是合法证书

若不相等,意味着证书上的内容被中间的黑客篡改,此时浏览器往往会弹出警告页面,提示用户该网站不安全

当前客户端手里拿着公证机构的公钥,客户端如何确定这个公证机构的公钥是正确的,不是伪造的?

这个东西不是通过网络获取的,而是操作系统内置的,因此不会是伪造的

黑客可不可以篡改数据后,同时更新数字签名,让数字签名解密出来的checksum2,和篡改过的checksum1一致?

理论不可行,黑客篡改数据后,要想重新生成数字签名,就要使用公证机构的私钥来加密,这个私钥不是普通黑客能拿到的

黑客如果自己生成一个私钥也没用,这个时候客户端拿着公证机构的公钥也解密不了(不是一对的密钥)

此时客户端如果解密出错,也可以认为证书有问题

Fiddler等抓包工具为什么能解析https数据

这类抓包工具只有拿到对称密钥,才能对数据解密

换句话说,这种工具就是在进行被允许的中间人攻击

(开启这类抓包工具的https选项时,同意了「信任抓包工具提供的证书」的选项,因此就是允许了)

1.此时客户端已经信任了fiddler证书,客户端手里就拿着了fiddler的公钥,fiddler就相当于客户端认可的公正机构

2.在客户端询问服务器证书的时候,对于服务器返回的证书,fiddler会篡改证书中的数据,把证书中的公钥替换为自己的公钥,并且使用自己的私钥来加密,得到数字签名,并重新生成证书替换服务器的证书,发给客户

3.客户端验证fiddler证书,计算证书各个属性的校验和,得到checksum1,并从数字签名解密,得到checksum2

这个数字签名就是拿着刚才信任的fiddler公钥进行解密了,这就达成了中间人攻击

这里与刚才的黑客攻击最大差别就是客户端验证fiddler证书的环节

因为对fiddler证书进行了信任,这就令客户端在后续把fiddler当成了公证机构,拿着它提供的公钥进行解密,自然也是没问题的

【重点掌握】

在浏览器输入url后,到最终展示出页面为止,这个过程中计算机都做了哪些事情呢?

基本思路:

站在网络原理的角度

a.DNS解析,我们输入的url里面一般都是一个域名,所以需要通过DNS服务器根据域名得到IP地址

b.https,接下来客户端要给服务器发送一个https请求,进入https的握手过程(对称加密,非对称加密,中间人攻击,证书等)

c.http,前面加密的准备工作完成了,接下来就要正式传输数据了,浏览器构造http请求,服务器返回http响应(http都有啥)

d.TCP,http基于TCP实现(TCP三次握手,核心机制等)

e.IP协议,TCP又是基于IP协议的(IP如何管理IP地址的,IP如何进行数据转发的?)

f.数据链路层(以太网知识)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/55406.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

springboot系列--web相关知识探索三

一、前言 web相关知识探索二中研究了请求是如何映射到具体接口(方法)中的,本次文章主要研究请求中所带的参数是如何映射到接口参数中的,也即请求参数如何与接口参数绑定。主要有四种、分别是注解方式、Servlet API方式、复杂参数、…

【案例】距离限制模型透明

开发平台:Unity 2023 开发工具:Unity ShaderGraph   一、效果展示 二、路线图 三、案例分析 核心思路:计算算式:透明值 实际距离 / 最大距离 (实际距离 ≤ 最大距离)   3.1 说明 | 改变 Alpha 值 在 …

stm32f103调试,程序与定时器同步设置

在调试定时器相关代码时,注意到定时器的中断位总是置1,怀疑代码有问题,经过增大定时器的中断时间,发现定时器与代码调试并不同步,这一点对于调试涉及定时器的代码是非常不利的,这里给出keil调试stm32使定时…

自用Proteus(8.15)常用元器件图示和功能介绍(持续更新...)

文章目录 一、 前言二、新建工程(以51单片机流水灯为例)2.1 打开软件2.2 建立新工程2.3 创建原理图2.4 不创建PCB布版设计2.5 创建成功2.6 添加元器件2.7 原理图放置完成2.8 编写程序,进行仿真2.9 仿真 三、常用元器件图示和功能介绍3.1 元件…

【回眸】Tessy 单元测试软件使用指南(四)常见报错及解决方案与批量初始化的经验

前言 分析时Tessy的报错 1.fatal error: Tricore/Compilers/Compilers.h: No such file or directory 2.error: #error "Compiler unsupported" 3.warning: invalid suffix on literal;C11 requires a space between literal and string macro 4.error: unknown…

螺蛳壳里做道场:老破机搭建的私人数据中心---Centos下Docker学习01(环境准备)

1 准备工作 由于创建数据中心需要安装很多服务器,这些服务器要耗费很所物理物理计算资源、存储资源、网络资源和软件资源,作为穷学生只有几百块的n手笔记本,不可能买十几台服务器来搭建数据中心,也不愿意跑实验室,想躺…

文件上传之%00截断(00截断)以及pikachu靶场

pikachu的文件上传和upload-lab的文件上传 目录 mime type类型 getimagesize 第12关%00截断, 第13关0x00截断 差不多了,今天先学文件上传白名单,在网上看了资料,差不多看懂了,但是还有几个地方需要实验一下&#…

SpringBoot整合异步任务执行

同步任务: 同步任务是在单线程中按顺序执行,每次只有一个任务在执行,不会引发线程安全和数据一致性等 并发问题 同步任务需要等待任务执行完成后才能执行下一个任务,无法同时处理多个任务,响应慢,影响…

VirtualBox+Vagrant快速搭建Centos7系统【最新详细教程】

VirtualBoxVagrant快速搭建Centos7系统 📖1.安装VirtualBox✅下载VirtualBox✅安装 📖2.安装Vagrant✅下载Vagrant✅安装 📖3.搭建Centos7系✅初始化Vagrantfile文件生成✅启动Vagrantfile文件✅解决 vagrant up下载太慢的问题✅配置网络ip地…

咸鱼sign逆向分析与爬虫实现

目标:🐟的搜索商品接口 这个站异步有点多,好在代码没什么混淆。加密的sign值我们可以通过搜索找到位置 sign值通过k赋值,k则是字符串拼接后传入i函数加密 除了开头的aff…,后面的都是明文没什么好说的,我…

SysML案例-电磁轨道炮

DDD领域驱动设计批评文集>> 《软件方法》强化自测题集>> 《软件方法》各章合集>> 图片示例摘自intercax.com,作者是Intercax公司总裁Dirk Zwemer博士。

C题(六) 1到 100 的所有整数中出现多少个数字9

场景:编写程序数一下 1到 100 的所有整数中出现多少个数字9 控制循环的变量不可以随意改动!!! 控制循环的变量不可以随意改动!!! 控制循环的变量不可以随意改动!!&#x…

看480p、720p、1080p、2k、4k、视频一般需要多大带宽呢?

看视频都喜欢看高清,那么一般来说看电影不卡顿需要多大带宽呢? 以4K为例,这里引用一位网友的回答:“视频分辨率4092*2160,每个像素用红蓝绿三个256色(8bit)的数据表示,视频帧数为60fps,那么一秒…

数据结构--二叉树的顺序实现(堆实现)

引言 在计算机科学中,二叉树是一种重要的数据结构,广泛应用于各种算法和程序设计中。本文将探讨二叉树的顺序实现,特别是堆的实现方式。 一、树 1.1树的概念与结构 树是⼀种⾮线性的数据结构,它是由 n(n>0) 个有限结点组成…

C#串口温度读取

背景:每天学点,坚持 要安装好虚拟串口和modbus poll,方便调试(相关资源在文末,也可以私信找我要) 传感器部分使用的是达林科技的DL11B-MC-D1,当时42软妹币买的(官网上面有这个传感…

若依--文件上传前端

前端 ry的前端文件上传单独写了一个FileUpload.Vue文件。在main.js中进行了全局的注册,可以在页面中直接使用文件上传的组件。全局导入 在main.js中 import 组件名称 from /components/FileUpLoadapp.compoent(组件名称) //全局挂载组件在项目中使用 组件命令 中…

828华为云征文|华为云 Flexus X 实例之家庭娱乐中心搭建

话接上文《828华为云征文|华为云Flexus X实例初体验》,这次我们利用手头的 Flexus X 实例来搭建家庭影音中心和密码管理环境。 前置环境 为了方便小白用户甚至运维人员,我觉得现阶段的宝塔面板 和 1Panel 都是不错的选择。我这里以宝塔为例…

GPTQ vs AWQ vs GGUF(GGML) 速览和 GGUF 文件命名规范

简单介绍一下四者的区别。 参考链接:GPTQ - 2210.17323 | AWQ - 2306.00978 | GGML | GGUF - docs | What is GGUF and GGML? 文章目录 GPTQ vs AWQ vs GGUF(GGML) 速览GGUF 文件命名GGUF 文件结构文件名解析答案 附录GGUF 文件命名GGUF 文件…

Resdis中关于字符串类型的基础命令

本文主要详解key-value中vaule为字符串类型的情况,value属于其他的数据类型不适应;有几个命令是通用命令 目录 1.set和get 2.keys 3.exists 4.del 5.expire 6.ttl 7.type 8.object encoding key 9.加减操作 10.字符串操作 11.命令小结 1.se…

DCGAN生成漫画头像

tutorials/application/source_zh_cn/generative/dcgan.ipynb MindSpore/docs - Gitee.com 在下面的教程中,我们将通过示例代码说明DCGAN网络如何设置网络、优化器、如何计算损失函数以及如何初始化模型权重。在本教程中,使用的动漫头像数据集共有70,17…