网安学习笔记一阶段08——计算机网络基础安全3

一、基础定位：URL（统一资源定位符）

核心定义：URL（Uniform Resource Locator）是互联网中资源的唯一地址，用于定位服务器上的具体资源（如网页、图片、视频），用户通过 URL 告诉浏览器“要访问哪个服务器的哪个资源”。

简单地说URL就是web地址，俗称“网址”

标准格式：协议://主机名:端口号/路径?查询参数#锚点

示例：https://www.baidu.com:443/s?wd=网络知识#page1

二、应用层核心协议：HTTP（超文本传输协议）

1.核心定义：HTTP（HyperText Transfer Protocol）是基于 TCP/IP 模型应用层的无状态协议，用于在客户端（如浏览器）和服务器之间传输超文本资源（网页、图片、视频等），是互联网访问的基础协议。（对话规则，同一语言）

特点：简单灵活、无状态、明文传输

简单灵活：客户端发起请求，服务器响应

无状态协议：协议不保留之前请求的信息，每次请求相互独立。需通过 Cookie、Session 等技术补充状态管理。

明文传输：所有数据都以未加密的形式传输

2.报文：“结构化的数据包”

HTTP状态码：

1xx、2xx、3xx、4xx、5xx

常见状态码：

• 200 OK：请求成功；

• 404 Not Found：资源不存在；

• 500 Internal Server Error：服务器内部错误；

三、网络代理与 VPN（网络访问中间层）

代理和 VPN 均是“客户端与目标服务器之间的中间节点”，核心作用是转发请求/响应，但应用场景和技术原理存在差异。

1.代理（Proxy）：核心是 “中间服务器”

核心定义：运行在应用层的中间服务器，客户端先将请求发送到代理服务器，再由代理服务器转发到目标服务器，响应数据按反向路径返回。

2.VPN（虚拟专用网络）：核心是 “加密隧道”

核心定义：VPN（Virtual Private Network）通过公共网络（如互联网）建立“加密的虚拟专用通道”，让远程设备（如居家办公电脑）安全接入企业内网。

四、BurpSuite渗透测试工具

BurpSuite本质是一个中间人代理工具

• 专门用于拦截、查看、修改客户端与服务器之间的 HTTP/HTTPS 流量

1.火狐浏览器中安装FoxyProxy

第一步：在火狐浏览器扩展和主题中，搜索foxyproxy

第二步：针对搜索出的结果，找到foxyproxy标准版进入

第三步：进入后，安装foxyproxy插件

2.火狐浏览器中配置FoxyProxy

第一步：火狐浏览器安装好FoxyProxy后，打开插件，点击bp（插件自命名）选项

第二步：新增代理，设置参数如下图，设置好后保存

第三步：打开bp,点击设置

第四步：在bp中做浏览器同样参数设置，如下图

3.浏览器中安装bp证书

浏览器中使用了bp后，一旦打开bp，如果没有安装证书，则会出现安全警告。

五、HTTPS加密通信技术

HTTPS（HyperText Transfer Protocol Secure）超文本传输安全协议，是一种通过计算机网络进行安全通信的传输协议。

核心定义：HTTPS（HyperText Transfer Protocol Secure）是 HTTP 的加密版本，通过在 HTTP 和 TCP 之间添加“SSL/TLS 加密层”，实现请求/响应数据的加密传输，解决HTTP 明文传输的安全隐患。

核心价值：确保数据传输的“机密性”（仅收发双方可解密）、“完整性”（数据不被篡改）、“身份认证”（确认目标服务器是合法的）。

TLS并不是说和HTTP绑定在一起了，它也可以和其他协议配合使用。比如：FTP。

1. 加密基础：对称加密与非对称加密

对称加密：客户端和服务器使用同一个秘钥来加密和解密（易被拦截）

非对称加密：使用公钥和私钥两种秘钥

有公钥:可以进行传输（易被窜改） 私钥:不公开，保密的，这两个是“成对出现”，可以用公钥加密，那么就要用对应的私钥解密。同理，如果用私钥加密，则要用对应的公钥解密。

2.MITM中间人攻击

MITM（Man-in-the-Middle）中间人攻击是一种网络攻击方式，攻击者通过某种手段将自己插入到通信双方之间，窃取、篡改或者干扰双方的通信内容。

3.身份认证核心：CA、数字证书与数字签名

HTTPS 的“身份认证”依赖 CA 机构和数字证书，解决“如何确认服务器是合法的，而非伪造的”问题。

（1）CA（证书颁发机构）

CA 是公认的、权威的“数字证书颁发机构”，负责验证服务器的真实身份，为合法服务器颁发“数字证书”，同时自身拥有“根证书”（用于验证下级证书的合法性）。

CA核心作用是证明服务器公钥的合法性，解决HTTPS通信中的身份信任问题。

（2）数字证书

数字签名是用私钥加密生成、可通过对应公钥验证，能确保数据完整性、身份真实性与不可否认性的密码学技术。

数字证书是服务器的“数字身份证”，包含以下核心信息：

• 服务器的域名、公钥；

• CA 机构的数字签名；

• 证书的有效期。

作用：客户端通过数字证书获取服务器公钥，同时验证服务器身份的合法性（由 CA背书）。

（3）数字签名（防篡改+身份认证）

数字签名是 CA 机构对数字证书内容的“加密验证信息”，基于非对称加密实现，核心流程：

1.CA 机构对服务器的证书信息（域名、公钥等）进行“哈希运算”，生成“信息摘要” （固定长度的唯一值，数据篡改后摘要会变化）；

2.CA 用自己的“私钥”对信息摘要加密，生成“数字签名”，附在数字证书中；

3.客户端验证证书时，用 CA 的“公钥”（内置在浏览器/操作系统中）解密数字签名，获取信息摘要；

4.客户端对证书信息重新做哈希运算，对比两次摘要：一致则证书未被篡改，服务器身份合法；不一致则证书无效，拒绝通信。

（4）根CA（系统预安装证书）

根 CA 是不被其他 CA 签发、自带最高信任等级的顶级证书颁发机构

• 信任锚点：根 CA 的证书预装在操作系统或浏览器中，作为信任链的起点。

• 签发下级 CA：根 CA 通常不直接签发终端实体证书，而是授权中间 CA 进行签发。

• 安全性要求：根 CA 的私钥通常离线保存，以降低被攻击的风险。

单个中间CA被攻克不影响其他CA正常运行。