前言

自己本身是一个学习两年网络安全的小白师傅，想想两年来都没有系统的学习过，所以就想着看看小迪的课程，顺便将自己的理解与小迪的课程做一个结合，以文字+图片的形式呈现给大家。看了小迪的课程，真觉得小迪的课程是yyds！-- 我看的是2024年的视频

学习内容

【基础入门】第10天：HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断

学习地址：【小迪安全】全栈网络安全 | 渗透测试 | 高级红蓝对抗 V2024最新版 (完)_哔哩哔哩_bilibili

学习目录

正式开始

知识点一：HTTP数据包

我们常说的中间人攻击，就是下图，它其实就是一个很简单的东西。例如我们前面课程学的抓包软件，我们抓到的数据包，对这个数据包进行修改，就完成了一次攻击人的攻击。例如：浏览器点击一个功能点->BP工具拦截到了这个数据包->BP工具对这个数据包进行修改->发送到我们的电脑（服务器）->我们的电脑（服务器）发送到BP工具->BP工具发送给浏览器。就完成了一个中间人攻击~

那么我们最常见的数据包有：GET数据包、POST数据包，这两个数据包有什么区别呢？最简单的区别在于他们发生的位置吧。GET数据包在我们访问页面的时候，例如：点击功能点、点击不同的页面等，而POST数据包在我们提交数据的时候，例如：头像上传、密码修改、登录等。

如何捕获这些数据包呢？1.用浏览器自带的流量捕捉 2.使用流量拦截工具进行捕捉

浏览器自带的流量捕捉，可以打开浏览器，点击F12

想设置控制台在下边的师傅可以这样设置

当我们搜索python的时候，可以看到这里有各种各样的数据包，这就是我们搜索这一个功能产生的各种数据包。

可以看到我们搜索使用的是GET请求

GET请求的第二个特征也出现了，可以看到我们的URL上，有许多的参数：q=、qs=呀，这就是GET请求的第二特征，请求的参数在URL上，就是我们可以看到，具体使用了什么参数。

诶有的师傅就疑惑了，GET请求不是不能传参吗？这是网上错误的说法，最准确的说法应该是GET请求不能传较大数据的参数，也就是较多的参数，也就是说它可以传参~

当然，可能有小白师傅问这么多种数据包我怎么知道哪个数据包是GET，哪个数据包是啥啥的、这些不用担心以后会讲，这里先明白什么是GET请求即可。

这里我们使用BP工具进行示范，不懂如何使用BP工具的可以查看第六天课程

举例：

可以看到，单单访问域名，是GET请求且没带参数

我们带上参数，那么也会在工具中体现。

POST请求

看出区别了吗？区别很简单，在正文部分是否有参数即可分辨是不是POST请求了。POST请求的第二特征，数据包中的正文带参数~

这是一些对POST与GET请求的总结，其他的请求可以暂时不用管

请求头信息是哪些呢？我们可以稍稍了解一下常见的

总结：

该知识点让我们了解数据包的基础构成，请求头+正文部分。还让我们区分了我们渗透测试当中最常见的GET请求与POST请求，在安全性上来说POST请求的安全性是较高一些的，当然通过这节课的学习，其实POST请求的参数部分我们也可以通过工具进行捕获、修改，所以在安全性上并无区别。GET与POST请求的区别，只需要记住传输数据大小有区别，参数是否在URL上有区别。值得注意的是POST请求与GET请求是可以同时存在的（当然这样并不严谨，但这样理解会更加简单），就是URL上有参数、而正文部分也有参数、这就是我们说的POST请求与GET请求同时存在。

知识点二：手机的数据包与电脑的数据包的区别

不会抓模拟器的数据包与PC端的数据包，可以参考第六天文章

手机的百度页面明显与PC的页面不同，那么它们是通过什么判断的呢？答案：User-Agent头

手机数据包，Android

电脑数据包，Windows

可以看到User-Agent头就是主要的区别

用浏览器能看到手机端的界面吗？答案：可以

只需要改成：

可以看到请求的地址是一样的，我们将这整个请求包替换成手机

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）