web安全学习笔记【06】——http\https抓包

这篇具有很好参考价值的文章主要介绍了web安全学习笔记【06】——http\https抓包。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

思维导图放最后

#知识点:

1、Web常规-系统&中间件&数据库&源码等

2、Web其他-前后端&软件&Docker&分配站等

3、Web拓展-CDN&WAF&OSS&反向&负载均衡等

-----------------------------------

1、APP架构-封装&原生态&H5&flutter等

2、小程序架构-Web&H5&JS&VUE框架等

-----------------------------------

1、渗透命令-常规命令&文件上传下载

2、反弹Shell-防火墙策略&正反向连接

3、数据回显-查询带外&网络协议层级

-----------------------------------

1、抓包技术-HTTP/S-Web&APP&小程序&PC应用等

2、抓包工具-Burp&Fidder&Charles&Proxifier

#章节点

应用架构:Web/APP/云应用/小程序/负载均衡等

安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等

渗透命令:文件上传下载/端口服务/Shell反弹等

抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等

算法加密:数据编码/密码算法/密码保护/反编译/加壳等

准备工作:

1、浏览器安装证书:解决本地抓HTTPS

2、模拟器安装证书:解决模拟器抓HTTPS

三款工具推荐:1、Charles   2、fiddler    3、burp

1、

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

2、

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

3、

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习

实现目的:

0、掌握几种抓包工具证书安装操作

1、掌握几种HTTP/S抓包工具的使用

2、学会Web,APP,小程序,PC应用等抓包

3、了解此课抓包是针对那些目标什么协议

Fiddler:

https://www.telerik.com/fiddler

是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。 Fiddler 要比其他的网络调试器要更加简单,因为它不仅仅暴露http通讯还提供了一个用户友好的格式。

Charles:

https://www.charlesproxy.com/

是一个HTTP代理服务器,HTTP监视器,反转代理服务器,当浏览器连接Charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP通信,这些包括request, response和HTTP headers (包含cookies与caching信息)。

TCPDump:是可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

BurpSuite:是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

Wireshark:

https://www.wireshark.org/

是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

科来网络分析系统:

https://www.colasoft.com.cn/

是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。

WPE&封包分析:是强大的网络封包编辑器,wpe可以截取网络上的信息,修改封包数据,是外挂制作的常用工具。一般在安全测试中可用来调试数据通讯地址。

burp抓小程序包:1.设代理 (数据包会混乱)2.charles与burp联用->43.利用代理转发工具(可设置规则抓指定程序、端口等)4.设置系统代理

抓不到可能是抓包软件获取不了软件的权限

思维导图

web安全学习笔记【06】——http\https抓包,学习笔记,http,web安全,学习文章来源地址https://www.toymoban.com/news/detail-821041.html

到了这里,关于web安全学习笔记【06】——http\https抓包的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 「 CISSP学习笔记 」06. 安全开发

    该知识领域涉及如下考点,具体内容分布于如下各个子章节: 理解安全并将其融入软件开发生命周期 (SDLC) 中 在软件开发环境中识别和应用安全控制 评估软件安全的有效性 评估获得软件对安全的影响 定义并应用安全编码准则和标准 6.1.1. 软件开发 系统开发的每个阶段都应当

    2024年01月19日
    浏览(32)
  • http\https协议

    小亭子正在努力的学习编程,接下来将开启javaEE的学习~~ 分享的文章都是学习的笔记和感悟,如有不妥之处希望大佬们批评指正~~ 同时如果本文对你有帮助的话,烦请点赞关注支持一波, 感激不尽~~ 目录 前言 一、 认识http协议 1.概念 1.1.http 1.1.2http协议的特点 2.抓包工具的介绍

    2024年02月09日
    浏览(43)
  • C# 调用FiddlerCore实现http/https抓包

    FiddlerCore是 Telerik 的跨平台 .NET 库,它允许捕获和修改 HTTP/HTTPS 流量。使用 FiddlerCore 的一些最流行的应用程序是 Telerik Fiddler(基于 .NET Framework 并在 Windows 上运行)和 Fiddler Everywhere(基于 .NET Core 并在 Windows、Mac 和 Linux 上运行)。 关键信息:FiddlerCore跨平台.net库,可以捕获

    2024年02月12日
    浏览(40)
  • HTTP与HTTPS:深度解析两种网络协议的工作原理、安全机制、性能影响与现代Web应用中的重要角色

    HTTP (HyperText Transfer Protocol) 和 HTTPS (Hypertext Transfer Protocol Secure) 是互联网通信中不可或缺的两种协议,它们共同支撑了全球范围内的Web内容传输与交互。本文将深度解析HTTP与HTTPS的工作原理、安全机制、性能影响,并探讨它们在现代Web应用中的核心角色。 HTTP 是一种应用层协议

    2024年04月11日
    浏览(63)
  • 《白帽子讲web安全》第二三章学习(HTTP,Web应用、浏览器安全)

    简介 HTTP协议是一种Client-Server协议,所以只能由客户端 单向 发起请求,服务端再响应请求。这里的客户端也叫用户代理(User Agent),在大多数场景下是一个浏览器。 HTTP请求 HTTP通信由请求与响应组成,典型的HTTP请求分为 方法 、 URI 1 、 版本 和 请求头 四部分。 HTTP方法用

    2024年03月26日
    浏览(56)
  • 【Android安全】安装mitmproxy Https抓包证书 | 安卓SSL抓包

    macbook上 mitmproxy 抓取安卓手机https流量 重点是安装mitmproxy Https抓包证书 手机需要root,macbook上需要安装好mitmproxy 需要完成下文1-3: https://github.com/doug-leith/cydia (接入有线网并开启无线热点) 启用 IP 转发: sudo sysctl -w net.inet.ip.forwarding=1 保存文件: https://github.com/doug-leith/cy

    2024年01月22日
    浏览(45)
  • burp抓包https链接不安全解决方法

    在浏览器已经导入 Burpsuite 的证书之后,抓包,浏览器仍然显示 抓取https包提示不是私密链接 解决方法 适用于没有继续访问的按钮。 浏览器输入 chrome://flags 搜索 翻译过来就是 允许从本地主机加载资源的证书无效。 并设置为 Enabled 在出现不是私密链接的页面直接 输入 thisisun

    2024年02月16日
    浏览(46)
  • 面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包吗(1)

    Android 面试必备 - http 与 https 协议 Android 面试必备 - 计算机网络基本知识(TCP,UDP,Http,https) Android 面试必备 - 线程 Android 面试必备 - JVM 及 类加载机制 Android 面试必备 - 系统、App、Activity 启动过程 面试官系列- 你真的了解 http 吗 面试官问, https 真的安全吗,可以抓包吗,

    2024年04月24日
    浏览(40)
  • 《吐血整理》保姆级系列教程-玩转Fiddler抓包教程(1)-HTTP和HTTPS基础知识

    有的小伙伴或者童鞋们可能会好奇地问宏哥,不是讲解和分享抓包工具了怎么这里开始讲解HTTP和HTTPS协议了。这是因为你对HTTP协议越了解,你就能越掌握Fiddler的使用方法,反过来你越使用Fiddler,就越能帮助你了解HTTP协议。 Fiddler无论对开发人员或者测试人员来说,都是非常

    2024年02月16日
    浏览(61)
  • 字节一面:https-真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世

    我在面试的过程中也经常被问到,于是总结记录了下来。千万不要小瞧这些基础,有时候,你算法,项目经验都过了,但是基础答得不太好。结果可能会通过,但这肯定会影响你的评级,这是特别吃亏的。所以,不如花点时间背一下,理解一下背后的原理。 举一个简单的例子

    2024年04月25日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包