Guia HCIP Seguridad H12 722 Principios Básicos WEB I

Última respuesta oct. 15, 2019 17:16:52 59 1 2 0

Buenas noches a todos.


El siguiente tema, forma parte esecencia de la médula espinal de los temas en seguridad, ya que son los conceptos básicos WEB.


PRINCIPIOS BÁSICOS WEB PARTE I


¿Qué es en esencia WEB?


Además del vocablo inglés que literalmente significa “telaraña”, tenemos los siguientes conceptos dentro del mundo de las redes:

·        La WEB se implementa basada en la arquitectura cliente/servidor y se conforma de las siguientes partes u elementos:

§  HyperText Markup Language (HTML) para describir a un archivo.

§  El Uniform Source Locator (URL) se usa para especificar la ubicación de un archivo.

§  El protocolo Hypertext Transfer Protocol (HTTP) se usa para comunicarse con el servidor.


Observemos la presente imagen.

223758b5bdrzq8unnzunnn.png?image.png

1.   HTML: Lenguaje de Marcado de Hipertexto.

2.   URL: Localizador Universal de la Fuente.

3.   HTTP: Protocolo de Transferencia de Hipertexto.


El Famoso WWW.

·        WWW es al acrónimo para World Wide Web, también conocido como 3W o simplemente Web. El hipertexto es una arquitectura de información holística, la cual establece los enlaces para diferentes partes de algún documento a través de palabras clave, de tal modo que la información se puede buscar de manera interactiva. Cuando se integra el hipertexto con información multimedia dentro de un ambiente de búsqueda de información, emerge el concepto de hipermedia.

·        El internet usa una combinación de hipertexto e hipermedia para extender los enlaces de información hacia todo el internet en sí. La Web es un tipo de sistema de información en hipertexto. Habilita el texto que será intercambiado desde una posición a otra con la intención de ser colocado en otro sitio. El multi-enlace es una característica única de la WEB.

 

 

Un Ejemplo de HTML: de Código a Modo Gráfico

223935emg69kigheweh7yr.png?image.png


Proceso de Trabajo de un URL

La imagen que se presenta es de manera precisa cómo funciona el URL.

224004jqpikyaw77x7fqdq.png?image.png


·        Cuando un usuario accede a un URL, el servidor busca el directorio donde se  Fbasando se en el camino o trayectoria del URL. El servidor envía el directorio que ha encontrado (por directorio entiéndase carpeta) hacia el usuario final, quien es el que ha solicitado el archivo.

 

HTTP y HTTPS

·        HTTP es un protocolo sin estado basado en peticiones y respuestas

·        HTTP tiene dos tipos de paquetes:

§  Paquetes de Peticiones: enviados del  cliente hacia el servidor

§  Paquetes de Respuesta: los paquetes que regresa el servidor hacia el cliente

·        HTTP es el protocolo de red más ampliamente usado en internet. HTTP originalmente desarrollado para proveer un método para publicar y recibir páginas en HTML. Los  recursos solicitados por HTTP y HTTPS son identificados por el URL.

 

Ø La imagen demuestra en términos simples y concretos el proceso de trabajo de HTTP/HTTPS:

224219qrszr0vz0pccmmro.png?image.png

1.   El cliente (buscador, como Explorer, Firefox, etc.) envía la petición de conexión al servidor WEB

2.   El servidor acepta la solicitud y establece una conexión (los pasos 1 y 2 que se ven en la imagen son conocidos como el saludo TCP de tres vías).

3.   El cliente envía una petición HTTP, por ejemplo GET (un paquete de petición) hacia el servidor a través de esta conexión.

4.   El servidor recibe el comando y transmite los datos requeridos hacia el cliente (a través de un paquete HTTP de respuesta) basado en el comando.

5.   El cliente recibe los datos del servidor.

6.   El servidor cierra de manera automática la conexión después de que los datos se envían (este paso es el conocido como saludos de 4 pasos TCP).



Estructura de un Paquete HTTP de Petición

·        Un paquete HTTP de petición está formado por loas siguiente 4 partes: línea de petición, encabezado de petición, línea en blanco y petición de datos.



224342kdl4qkcvovrvo30l.png?image.png

Ø En los métodos de petición, la seguridad de POST es mayor que la de GET. Algunos riesgos de seguridad pueden presentarse en el campo GET.


 

·        Línea de Petición.

§  la línea de petición consiste en los campos, método de petición, URL, y versión de HTTP,  los cuales están separados por espacios, por ejemplo: GET /index.html HTTP/1.1.

 

§  Los métodos de petición de del protocolo HTTP incluyen:

Ø GET: petición para leer la información especificada por el URL.

Ø OPCIÓN: petición para información de algunas opciones.

Ø CABEZA: petición para leer el encabezado de la información especificada por la URL.

Ø POST: petición para agregar información hacia el servidor

Ø PUT: petición para almacenar un documento en la dirección del URL específico

Ø DELETE: petición para eliminar el origen especificado por el URL

Ø TRACE: petición para prueba de loop

Ø CONNECTHTTP: usado por el servidor proxy

 

§  Después de que los datos son enviados usando GET, el usuario y la contraseña son desplegados en testo plano en el URL. La página de inicio de sesión (log in) puede ser acumulada en el caché por el buscador otros usuarios también pueden ver el historial grabado en el buscador, lo cual habilita a otros usuarios para obtener tu cuenta y su contraseña.

 

·        El encabezado de HTTP consiste en una palabra clave y valores pares cada línea tiene un par la palabra clave y el valor están separados por dos puntos (:). El encabezado de petición notifica al servidor sobre la información acerca de la petición del cliente. Las peticiones típicas en el encabezado incluyen

§  Agente-usuario: un tipo de buscador que produce o emite una petición

§  Aceptar: especifica el tipo de petición que un cliente recibe

§  Árbitro: el URL de la fuente precedente

§  Conexión: si se coloca en CLOSE, el servidor está instruido para cerrar la conexión después de enviar un archivo de respuesta si se coloca como KEEP-ALIVE el servidor tiene la instrucción de mantener la conexión activa después de que la respuesta se complete

§  Host: especifica el host de internet y el número de puerto que provee la fuente de la petición. Generalmente, se extrae del URL por ejemplo, wwwgoogle.cn. en este ejemplo, el puerto por defecto es 80. Si el puerto es especificado, el URL se cambia a: host:www.google.cn:puerto especificado.

 

·        Línea en Blanco

§  Siguiendo el último encabezado de la petición está una línea en blanco para enviar un transporte con los caracteres que regresan y una nueva línea de caracteres para informar al servidor que ahí no hay un encabezado de petición.

 

·        Datos de Petición

§  Los datos que se solicitaron no usan el método GET, pero usan el método POST. El método POST es aplicable en un escenario en el cual un usuario necesita llenar un formulario. El encabezado más común que se usa relacionado a la petición de datos son tipo de contenido y longitud del contenido.



Hasta aquí la información, comenta, comparte y opina sobre el post y no olvides dejar tu ♥.


  • x
  • convención:

LUISHR
Publicado 2019-10-15 17:16:52 Útil(0) Útil(0)
tema muy interesante y sobre todo basto y complejo, seguire viendo mas estas publicaciones
  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje