shikata ga nai

Private? There is no such things.

脆弱性診断に必要なHTTPヘッダについてかいてみた

Hello there, ('ω')ノ

 

脆弱性診断をするにあたり、リクエストやレスポンスの理解は重要で。

逆にHTTPヘッダを理解できれば、もっと上達スピードが早くなって。

とはいっても単純に暗記するのではなく、やりながら覚えるほうが早くて。

まずは、下記のような一覧くらいで大丈夫かなと。

 

GETメソッド

 URLにパラメータを付けてサーバへ送信する方法

 

POSTメソッド

 パラメータを見えないようにサーバへ送信する方法

 

Content-Type

 リソースのMIMEタイプを示す


X-Frame-Options

 HTTP のレスポンスヘッダで

 ブラウザがページを <frame>, <iframe>, <embed>, <object> の中に

 表示することを許可するかどうかを示す

 

X-Forwarded-For

 HTTP プロキシ又はロードバランサーを通過して

 ウェブサーバへ接続したクライアントの送信元 IP アドレスを特定

 

Cache-Control

 リクエストおよびレスポンスで、キャッシュ機能に関するディレクティブ

 

Pragma

 リクエストからレスポンスへの流れの中で影響がある実装依存のヘッダ

 

Cache-Control

 ヘッダが未実装である HTTP/1.0 キャッシュとの後方互換性のために使用

 

Connection

 現在の転送が完了した後もネットワークコネクションを維持するかを制御

 

Accept

 送り返すことができるデータの種類をサーバに通知

 

Cookie

 過去に Set-Cookie ヘッダーでサーバーから送信されて保存している HTTP クッキー

 Set-Cookieサーバーからユーザーエージェントにクッキーを送信

 

Forwarded

 リクエストのパスにプロキシが関与したときに変更

 または遺失したプロキシサーバのクライアント側の情報

 

X-Forwarded-For

 HTTPプロキシやロードバランサを経由してウェブサーバに接続する

 クライアントの接続元 IP アドレス

 

X-Forwarded-Host

 プロキシやロードバランサに接続するクライアントがリクエストした

 オリジナルのホスト

 

Location

 ページのリダイレクト先の URL 

Host

 サーバのドメイン名 (バーチャルホスト向け) および

 サーバが待ち受けている TCP ポート番号 (省略可能) を指定

 

Referer

 現在リクエストしているページへリンクしていた前のウェブページのアドレス

 

Allow

 リソースがサポートする HTTP リクエストメソッド

 

ステータスコード

 2xx Success

  成功レスポンス

  リクエストが成功した

 

 3xx Redirection

  リダイレクションレスポンス

  リダイレクションリクエストを完了させるために追加的な処理が必要

 

 4xx Client Error

  クライアントエラーレスポンス

  構文が無効であるためサーバがリクエストを理解できない

 

 5xx Server Error

  サーバエラーレスポンス
  サーバ側で処理方法がわからない事態が発生した

 

f:id:ThisIsOne:20210212100246p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain