SEOSERVISE - Защита сайтов от хакеров, защита от взлома.

 
   
 

Главная


 


Протоколы Web World Wide Web — это набор протоколов, которые подобны полицейским, регу­ лирующим "уличное" движение в Internet . Пакеты — это автомобили, грузовики и автобусы на информационной супермагистрали; а протоколы — это остановки, све­ тофоры и эстакады. С учетом такого определения, протоколы играют чрезвычайно важную роль в управлении повседневной жизнью Internet . Как следствие, они- ока­ зываются столь же важными и для хакеров, которые хотят воспользоваться их не­ достатками (а иногда и функциональными возможностями). В этой главе обсуждаются основные протоколы, используемые в электронной коммерции. Кроме того, вы узнаете, как хакеры пытаются воспользоваться ими для достижения собственной выгоды. Здесь также описывается множество бесплатных утилит, работа которых основывается на преимуществах этих протоколов. Подобные программные средства позволяют автоматизировать выполнение большей части тяже­лой рутинной работы. HTTP Вне всякого сомнения, HTTP — наиболее распространенный протокол Internet . Для взаимодействия и обмена информацией этот протокол должен использоваться на каждом Web -броузере и сервере. Существует три основные версии протокола, которые поддерживают одну и ту же фундаментальную структуру. HTTP — это протокол за­ просов/ответов, не требующий поддержки соединения и позволяющий компьютерам достаточно эффективно и непрерывно взаимодействовать друг с другом в течение ча­сов, дней и недель. Хотя используемая в настоящее время версия 1.0 протокола HTTP существенно отличается от первоначальной спецификации, предложенной Тимом Бернерсом-Ли ( Tim Berners - Lee ) в марте 1990 года, его характерные особенности изменились не­ значительно. На рис. 4.1 изображены основные компоненты HTTP и принципы их использования. HTTP /0.9 Первой официальной спецификацией протокола HTTP считается НТТР/0.9. Эта и последующая версии определены группой IETF ( Internet Engineering Task Force ) в до­ кументе RFC 1945 ( http :// www . ietf . org / rfc / rfcl 945. txt ). В течение четырех лет (1992- 1996) протокол НТТР/0.9 получил широкое распространение в Internet , хотя в то вре­ мя технология Web еще не была достаточно развита. Версия 0.9 была весьма ограни­ ченной и не содержала тех элементов, которые в настоящее время требуются для взаимодействия в Web . НТТР /1.0 Спецификация HTTP /1.0 появилась в самом начале эры стремительного развития Internet , в мае 1996 года. Несмотря на небольшой возраст этой версии (в технологиче­ ском смысле), она является основной версией протокола HTTP , используемой сейчас в Internet . В процессе взаимодействия на большинстве Web -серверов и броузеров по-прежнему по умолчанию используется протокол НТТР/1.0. Подобно НТТР/0.9, спе­ цификация НТТР/1.0 определена в документе RFC 1945. В основу НТТР/1.0 положен процесс обмена запросами и ответами, в рамках кото­ рого клиенту ( Web -броузеру) и серверу ( Web -серверу) разрешается (или запрещается) передавать, анализировать и получать информацию. Вообще, в спецификации НТТР/1.0 адрес URL определен следующим образом: httpiZ /узел [ ":" порт ] [ абсолвгиый путь ] Здесь узел — это имя целевого узла, порт — необязательный номер порта, абсолютный^ путь — запрашиваемый ресурс. Запрос HTTP При генерации запроса первым шагом должен быть выбор метода, который будет использоваться. В табл. 4 1 описаны методы, определенные в спецификации НТТР/1.0. Таблица 4.1. Методы НТТР /1.0 Метод Описание GET Позволяет извлечь информацию из файловой системы . Если запрашиваемый файл является статическим файлом HTML , то будет отображено его содержимое . Однако если файл является динамическим файлом ASP , то Web - сервер обработает его , выполнит содержащиеся в нем ко­манды и передаст результаты выполнения обратно броузеру . Пример : GET /default.htm НТТР /1.0. Замечание : после строки НТТР /1.0 необходимо дваж­ ды нажать клавишу < Enter > HEAD Метод HEAD почти идентичен методу GET , с одной оговоркой : при его использовании запраши­ ваемые данные возвращены не будут . Однако преимущество метода HEAD заключается в том , что в качестве ответа передается метаинформация : код ответа сервера , дата , заголовок серве­ ра и т . д . Эти данные позволяют взломщику ( иногда ) " прощупывать " Web - сервер , на котором вы­ полняется Web - приложение . Пример : HEAD / НТТР /1.0. Замечание : после строки НТТР /1.0 необходимо дважды нажать клавишу < Enter > POST При использовании метода POST данные передаются серверу в теле запроса . Обычно метод POST используется в том случае , если в процессе взаимодействия применяется интерфейс CGI или серверные сценарии . Замечание : для всех запросов POST требуется указать корректный за­ головок Content - Length

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |