20199322 第三次实践

实践之一

找一个网站或者搭建一个本地网站,登录网站,并嗅探,分析出账号和密码,结果截图1-2张。可以用邮箱、各类博客、云班课,只能分析自己的账号,严禁做各类攻击,否则后果自负。

这个实践的难点在于两个:

  • 一个是自己搭建一个本地网站,但是你有这个手艺吗?
  • 如果你自己去找一个网站,怎么找一个全站不使用https的?

什么是https?

HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1] 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。

打开wireshark,开始抓包

找的网站是7k7k小游戏,注册一下并登录


回到wireshark,开始过滤,http.request.method==POST

这里注意两点

  • 第一点是:不使用ip进行过滤,因为大网站的地址池很多。
  • 第二点是:POST和GET都是HTTP的请求方法,一个不行就尝试另外一个。



这里可以看出来,7K7K小游戏已经没落了,尽管现在大部分网站都标配HTTPS了,7K7K终究没落在了时代的洪流之中了。

实践之二

每个人找一个抓包软件,分析其功能,设计的模块等,着重使用和分析,不建议用wireshark,编译过程可能比较难,也可挑战

我找的是Fiddler

Fiddler是什么?

  • 目前最常用的抓包工具之一
  • 功能强大,调试web的最佳工具之一。

Fiddler有啥用?

  • 监控浏览器所有的HTTP/HTTPS请求
  • 查看-分析-请求内容细节
  • 伪造客户端请求和服务器响应
  • 测试网站的性能
  • 解密HTTPS的web会话
  • 全局断点
  • 还可以使用第三方插件

整体界面要比wireshark清晰明朗一点


软件区块功能分布图

用fiddler重复上一个实践


我们可以看到同样抓取了账号密码

posted @ 2020-03-29 15:05  汪振_20199322  阅读(97)  评论(0编辑  收藏  举报