// PHASE 1 · HTTP/HTTPS Protocol

HTTP/HTTPS Protocol

Apa Itu HTTP?

HTTP (HyperText Transfer Protocol) adalah protokol komunikasi yang digunakan browser dan server untuk bertukar data di internet. Setiap kali kamu membuka website, terjadi percakapan HTTP antara browsermu (client) dan server.

HTTPS adalah versi aman dari HTTP — semua data dienkripsi menggunakan TLS (Transport Layer Security) sehingga tidak bisa disadap di tengah jalan.

Anatomi HTTP Request

POST /api/login HTTP/1.1
Host: example.com
Content-Type: application/json
Cookie: session=abc123
User-Agent: Mozilla/5.0

{"username": "rizky", "password": "secret"}

Komponen penting:

Method — Jenis aksi yang diminta
Path — Endpoint yang dituju (/api/login)
HTTP Version — HTTP/1.1 atau HTTP/2
Headers — Metadata request
Body — Data yang dikirim (hanya POST, PUT, PATCH)

HTTP Methods

Method	Fungsi	Relevansi Bug Hunting
GET	Ambil data	Parameter di URL → IDOR, XSS, SQLi
POST	Kirim data	Body request → SQLi, XSS, CSRF
PUT/PATCH	Update data	Cek otorisasi → IDOR
DELETE	Hapus data	Cek otorisasi → IDOR
OPTIONS	Cek method yang diizinkan	CORS misconfiguration

HTTP Response

HTTP/1.1 200 OK
Content-Type: application/json
Set-Cookie: session=xyz; HttpOnly; Secure

{"status": "ok", "user": "rizky"}

Status Codes Penting

Kode	Arti	Catatan Bug Hunter
200 OK	Sukses	—
301/302	Redirect	Cek Open Redirect
400	Bad Request	Input tidak valid
401	Unauthorized	Butuh autentikasi
403	Forbidden	Coba bypass!
500	Server Error	Bisa bocorkan info stack

Headers Penting

Header	Fungsi	Yang Dicari Hunter
Authorization	Token autentikasi	JWT, API key
Cookie	Session data	Session token
Origin / Referer	Asal request	CORS, CSRF
Content-Type	Tipe body	Type confusion attacks
X-Forwarded-For	IP asli client	IP spoofing bypass

Tip: Selalu perhatikan response header di setiap request. Header seperti Server: Apache/2.4.1 atau X-Powered-By: PHP/7.2 bisa mengungkap teknologi dan versi yang digunakan — berguna untuk mencari CVE yang relevan.

Cookies & Session

Cookie adalah data yang disimpan browser dan dikirim otomatis ke server di setiap request. Atribut keamanan yang harus ada:

Set-Cookie: session=abc123; HttpOnly; Secure; SameSite=Strict; Path=/

Atribut	Fungsi	Jika Tidak Ada
HttpOnly	Blokir JS akses cookie	Rentan XSS cookie theft
Secure	Hanya kirim via HTTPS	Cookie bisa dicuri di HTTP
SameSite	Cegah cross-site request	Rentan CSRF

// CEK PEMAHAMAN

Atribut cookie apa yang mencegah JavaScript mengakses nilai cookie — perlindungan utama dari XSS cookie theft?

ASecure

BSameSite

CHttpOnly

DExpires

Sebelumnya HTML, CSS & JavaScript Basics