为什么很多人学不会渗透？因为一开始就没学HTTP

最近刚开始系统学 Web 安全，发现很多人一上来就学 Kali、SQLMap、各种扫描器，但其实最应该先学的是 HTTP。

因为后面很多 Web 漏洞，本质上都是在“修改 HTTP 请求”。

比如：

- SQL 注入 → 改参数
- XSS → 改输入内容
- 越权 → 改 ID
- 文件上传 → 改请求包
- JWT → 改 Token

所以如果 HTTP 不懂，后面会学得特别乱。

今天简单整理一下我刚学到的 HTTP 基础，适合和我一样的新手。

1.什么是 HTTP？

HTTP 可以理解成：

“浏览器和网站之间交流的语言”。

比如你打开一个网站：

http GET /index.php HTTP/1.1

其实就是浏览器在跟服务器说：

“我要这个页面。”

服务器收到以后，再把页面返回给你。

HTTP 请求主要分三部分

1. 请求行

例如：

http GET /login HTTP/1.1

这里包含：

- 请求方法
- 请求路径
- HTTP版本

2. 请求头（Header）

例如：

http User-Agent Cookie Referer Authorization

很多漏洞其实和 Header 有关系。

比如：
- Cookie 伪造
- JWT
- 越权

后面都会碰到。

3.请求体（Body）

POST 提交的数据一般在这里。

例如：

http username=admin&password=123456

以后学 SQL 注入的时候，经常就在这里改参数。

GET 和 POST 的区别

很多面试都会问。

简单理解：

GET：
- 一般用于获取数据
- 参数会显示在 URL 上

POST：
- 一般用于提交数据
- 参数在请求体里

HTTP 状态码

先记几个最常见的：

- 200：请求成功
- 403：禁止访问
- 404：页面不存在
- 500：服务器错误

以后打靶场会天天看到。

我现在最大的感受

以前总觉得渗透测试特别“黑客”。

现在才发现：

真正的基础其实是：
- 网络
- HTTP
- Linux
- Web

很多漏洞的本质，就是：
“服务器没有正确处理 HTTP 请求。”

最近准备继续学：
- BurpSuite
- SQL 注入
- XSS
- DVWA 靶场

后面如果踩坑了再继续记录。

也欢迎大佬指点，刚入门，少喷哈哈。