Web安全实践（2）基于http的web架构剖析

核心提示： 从响应信息我们可以得到该网站的服务器为 Resin版本为3.0.21，通过google我们可以了解该服务器以及该网站更多的相关信息，Web安全实践（2）基于http的web架构剖析(2)，这一点是非常重要的，我以后会详细的介绍， 如果我们想做自己的指纹分析工具，就要对各种服务器做测试，

从响应信息我们可以得到该网站的服务器为 Resin版本为3.0.21。通过google我们可以了解该服务器以及该网站更多的相关信息，这一点是非常重要的，我以后会详细的介绍。

其他能够获取http报文的工具我就不详细介绍了，只要能达到目的任何可行的方案都可以尝试。

http指纹。

http1.1规范（RFC2616）鼓励实现者为了实现安全，将Server字段做成可配置选项。如果这样的话，我们得到的http响应的信息就有可能是假的信息。

应对于这个问题的解决方法，就是从服务器响应的内容中跳出来，进而观察服务器器对各种响应的整体行为。因为目前的服务器对于响应的细节并没有统一的规范，所以各有不同，只要从统计学的角度进行分析就可以顺利的看到服务器的本来面目。

不常见的http请求方法

请求越不常见，出现不同响应的可能性越大。

错误信息

错误信息最容易暴露服务器的本来面目。

这两种方式都需要我们总结大量正确数据的基础上，再分析未知服务器然后把相应行为和已知行为对比做判断。希望有做这方面工作的高手能提供相关资料。

httprint工具

Net-Square 的Httprint工具，是一个自动化的http指纹分析工具，带有可定制web服务器指纹数据库。下面是Httprint的一个结果报告。

如果我们想做自己的指纹分析工具，就要对各种服务器做测试，现在我还没有这个条件来做。