实践之一
找一个网站或者搭建一个本地网站,登录网站,并嗅探,分析出账号和密码,结果截图1-2张。可以用邮箱、各类博客、云班课,只能分析自己的账号,严禁做各类攻击,否则后果自负。
这个实践的难点在于两个:
- 一个是自己搭建一个本地网站,但是你有这个手艺吗?
- 如果你自己去找一个网站,怎么找一个全站不使用https的?
什么是https?
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。
打开wireshark,开始抓包
找的网站是7k7k小游戏,注册一下并登录
回到wireshark,开始过滤,http.request.method==POST
这里注意两点
- 第一点是:不使用ip进行过滤,因为大网站的地址池很多。
- 第二点是:POST和GET都是HTTP的请求方法,一个不行就尝试另外一个。
这里可以看出来,7K7K小游戏已经没落了,尽管现在大部分网站都标配HTTPS了,7K7K终究没落在了时代的洪流之中了。
实践之二
每个人找一个抓包软件,分析其功能,设计的模块等,着重使用和分析,不建议用wireshark,编译过程可能比较难,也可挑战
我找的是Fiddler
Fiddler是什么?
- 目前最常用的抓包工具之一
- 功能强大,调试web的最佳工具之一。
Fiddler有啥用?
- 监控浏览器所有的HTTP/HTTPS请求
- 查看-分析-请求内容细节
- 伪造客户端请求和服务器响应
- 测试网站的性能
- 解密HTTPS的web会话
- 全局断点
- 还可以使用第三方插件
整体界面要比wireshark清晰明朗一点
软件区块功能分布图
用fiddler重复上一个实践
我们可以看到同样抓取了账号密码