• 20199322 第三次实践


    实践之一

    找一个网站或者搭建一个本地网站,登录网站,并嗅探,分析出账号和密码,结果截图1-2张。可以用邮箱、各类博客、云班课,只能分析自己的账号,严禁做各类攻击,否则后果自负。

    这个实践的难点在于两个:

    • 一个是自己搭建一个本地网站,但是你有这个手艺吗?
    • 如果你自己去找一个网站,怎么找一个全站不使用https的?

    什么是https?

    HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。

    打开wireshark,开始抓包

    找的网站是7k7k小游戏,注册一下并登录


    回到wireshark,开始过滤,http.request.method==POST

    这里注意两点

    • 第一点是:不使用ip进行过滤,因为大网站的地址池很多。
    • 第二点是:POST和GET都是HTTP的请求方法,一个不行就尝试另外一个。



    这里可以看出来,7K7K小游戏已经没落了,尽管现在大部分网站都标配HTTPS了,7K7K终究没落在了时代的洪流之中了。

    实践之二

    每个人找一个抓包软件,分析其功能,设计的模块等,着重使用和分析,不建议用wireshark,编译过程可能比较难,也可挑战

    我找的是Fiddler

    Fiddler是什么?

    • 目前最常用的抓包工具之一
    • 功能强大,调试web的最佳工具之一。

    Fiddler有啥用?

    • 监控浏览器所有的HTTP/HTTPS请求
    • 查看-分析-请求内容细节
    • 伪造客户端请求和服务器响应
    • 测试网站的性能
    • 解密HTTPS的web会话
    • 全局断点
    • 还可以使用第三方插件

    整体界面要比wireshark清晰明朗一点


    软件区块功能分布图

    用fiddler重复上一个实践


    我们可以看到同样抓取了账号密码

  • 相关阅读:
    iphone 图标下载
    iphone 下拉刷新(转)
    技术书评(.NET为主)
    我也设计模式——3.Singleton
    我也设计模式——14.Flyweight
    Web2.0技术研究笔记——1.分类与资源
    我也设计模式——4.Builder
    C#之CLR读书笔记 0
    IMemento 永远置顶
    我也设计模式——21.Memento
  • 原文地址:https://www.cnblogs.com/vizen/p/12591950.html
Copyright © 2020-2023  润新知