HTTPとは？リクエストとレスポンスをコードで理解しよう！

セキュリティなどの知識を知る上で重要なもの、それがHTTPです。

HTTPを理解することは、セキュリティを理解することにつながります。

今回は、HTTPの基本を知るために、サーバへのリクエスト・レスポンス通信を具体的に見ていきたいと思います。

HTTPをまずは知る

冒頭でもお話しした通り、セキュリティを知る上で必要な技術としてHTTPが挙げられます。

このHTTPを知ることは、Webシステムの脆弱性を知ることにつながります。

ですので、HTTPの基礎からしっかりと学んでいきましょう。

HTTP通信を覗いてみよう

さて、まずは以下のようなPHPを実行してみます。

<body>
<?php echo htmlspecialchars(date('G:i')); ?>
</body>

画面の表示は以下のようになります。

この画面を表示した際に、ブラウザはサーバへの要求としてHTTPリクエストを送信し、サーバはブラウザへの返信としてHTTPレスポンスを返します。

HTTPの内容を覗く際に、今回は「OWASP ZAP」を利用しています。

リクエストメッセージとは

GET http://example.jp/31/31-001.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-US;q=0.7,en;q=0.3
Referer: http://example.jp/31/
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Host: example.jp

リクエストライン

リクエストメッセージの1行目は「リクエストライン」と呼ばれています。

GET http://example.jp/31/31-001.php HTTP/1.1

リクエストラインはWebサーバに対する命令を表しており、

を空白で区切って表しています。

ヘッダ

リクエストメッセージの2行目以降は「ヘッダ」と呼ばれるもので、名前と値をコロンで区切った形になっています。

ヘッダの内容で重要なのはHOSTだけです。HOSTはメッセージの送信先ホスト名(FQDN)とポート番号を表します(80の場合は省略可能)。

レスポンスメッセージとは

HTTP/1.1 200 OK
Server: nginx/1.10.3
Date: Sun, 29 Jul 2018 14:28:58 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 20
Connection: keep-alive
X-UA-Compatible: IE=edge

<body>
23:28</body>

レスポンスメッセージはWebサーバから返された内容です。

レスポンスメッセージの構造は以下の通りです。

ステータスライン

ステータスラインは、リクエストに対する処理結果のステータスを返します。

■ステータスコードの概要

レスポンスヘッダ

レスポンスメッセージの2行目以降はヘッダになります。

以下が重要なものになります。

以下は、主なMIMEタイプになります。

HTTPは人間の会話と変わらない

HTTPは人の会話と変わりません。

今回で言うと、

というやりとりをしているだけです。

ただし、人間のようにニュアンスを理解してくれるわけではないので、コードとしてリクエスト・レスポンスをしっかりと示してあげる必要があるわけです。

まとめ

今回はHTTPの基礎を理解しました。

初めての方にはとっつきにくいかもしれませんが、慣れてくると意外と簡単です。

僕も業務で見たりするようになってから苦手意識がなくなったので、慣れるように頑張りましょう！

おすすめ本

僕がセキュリティの勉強をする際に購入した本になります。

この本があれば、セキュリティの基礎は理解できるのでおすすめですよ！

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

posted with カエレバ

徳丸 浩 SBクリエイティブ 2018-06-21

Amazon

楽天市場