HTTP基本认证

基础认证

(1)HTTP基本认证

桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64算法加密后的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)

(2)HTTP基本认证的过程

第一步: 客户端发送http request 给服务器,
第二步: 因为request中没有包含Authorization header, 服务器会返回一个401 Unauthozied给客户端,并且在Response的 header “WWW-Authenticate” 中添加信息。
第三步:客户端把用户名和密码用BASE64加密后,放在Authorization header中发送给服务器, 认证成功。
第四步:服务器将Authorization header中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源给客户端
HTTP基本认证_第1张图片
HTTP基本认证_第2张图片一道web的CTF题,打开连接
HTTP基本认证_第3张图片

打开bp抓包
HTTP基本认证_第4张图片
数据包中我们看到了Authorization header,解码看一下Authorization格式
HTTP基本认证_第5张图片
格式由用户名+冒号+密码经过base64加密,题目中给了附件密码字典发送到intruder模块进行爆破
HTTP基本认证_第6张图片
HTTP基本认证_第7张图片
HTTP基本认证_第8张图片
长度唯一,看下响应得到flag

人生漫漫其修远兮,网安无止境。
一同前行,加油!

你可能感兴趣的:(Web,http,ctf,http认证,ctf习题,安全)