ua 表示浏览器信息 可以通过插件User-Agent Switcher and Manager修改,如伪造成手机访问网页。
q表示权重;
connection:close表示发送一次就断开,keeplink表示发送一次请求能发送多个请求包。
30x状态码原因:
①网站做了容错,访问错误页面会跳转固定页面:
请求文件、路径不存在(中间件规则配置的)
②代码文件做了跳转,触发规则自动跳转固定页面:
请求文件、路径存在(文件代码配置的)
200和404误报原因:
网站做了容错,访问错误页面跳转固定页面:
请求文件、路径不存在
渗透测试一般涉及的报文字段:
1、UA头-系统平台
常见举例影响:
-比如网站有UA收集整理功能,如果将UA信息记录到数据库的话,这个过程有接受UA信息及写入数据库的操作,这个地方可能存在SQL注入
-渗透测试习惯
部分网站做了限制设备访问的需求,手机或电脑只能访问一个,如果我们自己要电脑测试需要更改成手机访问才可以继续
2、Cookie-用户身份
涉及cookie修改、cookie欺骗
3、Post数据-登录爆破
4、返回状态码-文件探针