修改数据包欺骗服务器,Fiddler协议捕获编辑工具与Session欺骗原理详解

今天Kitty主要与大家分享Fiddler抓包工具与协议捕获编辑工具来与大家讲解Session欺骗原理过程,咱们主要通过Fiddller协议捕获工具来对比HTTPWatch两款工具之间的差别,最主要的是我们可以通过捕获到的请求进行二次编辑重新发送给服务器,这中间我们做了一个请求的截获,这样就能够通过人工的方式改变捕获的接口请求本身,通过前端的界面拼装好默认的标准,按照自己的想法来组装请求,这样就能够发现客户端的一些潜在的问题。

当然,我们也可以通过请求的编辑,编辑sessionID或者cookie信息发送给服务器,甚至可以达到绕开浏览器界面的验证,从而达到欺骗服务器的目的。

咱们今天主要通过Fiddler工具来进行讲解,Fiddler这个工具可以搞定,大家也可以使用其它的编程语言开发一个能够发送HTTP请求的代码,同样我们也可以达到与服务器进行交互的目的,客户端要发送什么请求都可以自己来定义,这样我用编程语言来搞定,然后通过加入可选的不同的数据输入,这样就能够达到自动化测试的目的,并且通过代码自动化来获取我特征库里面的值,这个实现原理就是我们现在很多安全性测试扫描工具的实现的基本原理。

就是将数据包组装好发送给服务器,来分析服务器的响应,根据服务器的响应的内容来提取一些有含量的值来判断,这个服务器是否存在安全性漏洞,安全性扫描工具都是基于这个原理来实现的,至于拼装什么样的数据包,取决于工具本身特征库的认定。

通过这些工具主要帮助大家巩固之前所学的知识,另外我们需要进入更深层面技术方面的学习,我们不能一直停留在简单层次的学习,这样提升起来会比较慢,我们需要逐渐深入底层逐渐的进入到更深的技术层面。

Fiddler的安装过程自己网上自行下载安装即可,在本次课程就不详细讲解,安装过程一路下一步完成即可,安装完成之后大家注意不同的Fiddler版本需要安装Fiddler的证书,为什么要安装证书呢?因为我们平时测试的项目不仅是针对于HTTP协议来抓包分析,还有HTTPS协议的相关包也就是HTTP协议的加密过程,需要安装秘钥才能正常抓取HTTPS的包。

安装完成之后就可以直接打开Fiddler进行抓包,在File上勾选Capture Traffic,因为只有勾选这个才能监控浏览器的数据包,然后大家可以打开任意一个浏览器进行抓包,Fiddler就能监控到请求。

接下来将捕获用户的请求,对请求进行编辑并发布,修改请求的参数并选择执行,就会生成一个新的请求,从而达到向服务发送请求的目的,分析相应返回的数据。

大家可以编辑捕获到的请求修改内容向服务器发送请求,服务器将发送的请求进行响应,那如果说我可以获取到别人的sessionID,我就可以将sessionID放在cookie中发送给服务器,服务器看到我是登录状态,我就直接可以绕开登录界面,直接进入登录状态,这样就达到了欺骗服务器的目的。

例如:如果我复制一个假的证件给服务器,服务器并不知道,只能认为是同一个人,这样就完全可以获取到持有证件人的所有登录信息,从而达到欺骗服务器的目的。

当然除了使用Fiddler工具来获取项目的协议数据,自己可以通过编程语言代码编写一些接口来获取接口的权限验证相关信息,从而使用Fiddler来修改协议数据包,达到欺骗服务器的目的。

Fiddler不仅仅是一款抓包工具,同样也可以用来捕获协议并且对协议进行修改从而达到欺骗服务器的目的,也可以当做一款安全性测试的工具,现在市场上所使用的安全性扫描工具也是基于Fiddler抓包工具的原理来实现的,Fiddler除了可以用来抓PC端的HTTP或者HTTPS的包,还可以抓取移动端网页的数据包,在今天这堂课程我们就不做过多讲解。

如果想抓移动端的包,一定要勾选远程连接的一些选择项,一定要确认本机的网络与手机在同一个wifi下才能正常抓包。

那HTTPWatch也是一款抓包工具,这款工具更多时候用做抓包分析,当然Fiddler同样能够达到接口测试的目的,所以大家只需要掌握一款核心工具即可,学习工具更重要的是倾向于原理的学习,无论一款工具做得多么强大,我们的目标仅仅是抓包,只要能够满足日常工作需要即可。

综上所述,今天主要对Fiddler这款协议捕获工具的抓包包原来及Session欺骗的原理过程与大家进入深入的讲解,希望大家通过今天的学习能够让自己的知识面提升到一定的层面,后期更多干货内容敬请期待。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/430781.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

统计源期刊目录_统计源期刊是什么意思

统计源期刊是什么意思?统计源期刊全称中国科技论文统计源期刊,也就是我们常说的科技核心期刊,科技核心期刊是我国核心期刊体系中的一类,在国内个人评职晋升、学术评估中占据着重要地位,统计源期刊也是根据期刊多方面指…

ajax 请求post和get,ajax请求get和post

ajax请求get和post 内容精选换一换正常返回值类型说明200OKGET、PUT、POST操作正常返回204No ContentDELETE操作正常返回异常返回值说明400 Bad Request服务器未能处理请求。401 Unauthorized被请求的页面需要用户名和密码。403 Forbidden对被请求页面的访问被禁止。404 Not Fo…

python requests 重试_我可以为requests.request设置最大重试次数吗?

这不仅会改变最大重试次数,而且还会启用回退策略,使所有http://地址在重试前睡眠一段时间(总共5次):import requestsfrom urllib3.util.retry import Retryfrom requests.adapters import HTTPAdapters requests.Session()retries Retry(to…

产品专家Marty Cagan:不做仅仅会编码的人

Marty Cagan是享有世界声誉的产品管理专家,曾担任Netscape副总裁、eBay产品管理及设计高级副总裁。近日,记者在“PM-China首届产品经理高峰论坛”上对他做了专訪,请他分享自己的产品管理历程。 程序猿的工作 《程序猿》:据我所知。…

网页底部的版权信息_Shopify底部的版权信息(Powered by Shopify )如何删除

大多数新的Shopify商店所有者通常在一开始就遇到一个小问题。他们通常想摆脱商店页脚中的“Powered by Shopify”文本/链接。Shopify提供支持的含义是什么?Shopify是一个电子商务平台,可帮助创建和自定义电子商务商店。当您在此平台上创建商店时&#xf…

ftp 服务器 文件 连接 导出,ftp 服务器 文件 连接 导出

ftp 服务器 文件 连接 导出 内容精选换一换“数据导入”章节适用于MRS 3.x及后续版本。Loader是实现MRS与外部数据源如关系型数据库、SFTP服务器、FTP服务器之间交换数据和文件的ETL工具,支持将数据或文件从关系型数据库或文件系统导入到MRS系统中。Loader支持如下数…

自己的碎碎念

各位mmgg们,我是一个人见人爱,车载车爆胎的mm。 想知道我的年龄吗?我偷偷告诉你我正在学校和社会间徘徊(年龄大了都不好意思明说了,没错,我就是娇羞) 想知道我的职业吗?我想聪明的人…

python取绝对值数组_Python通用函数实现数组计算的方法

一.数组的运算数组的运算可以进行加减乘除,同时也可以将这些算数运算符进行任意的组合已达到效果。>>> xnp.arange(5)>>> xarray([0, 1, 2, 3, 4])>>> x5>>> xnp.arange(5)>>> x5array([5, 6, 7, 8, 9])>>> …

多个虚拟主机服务器,Windows多个虚拟主机服务器

Windows多个虚拟主机服务器 内容精选换一换迁移前,您需要设置目的端服务器。该目的端用来接收源端的数据,同时您也可以使用该目的端进行迁移测试和启动目的端。只有“迁移阶段”为“已就绪”时才可设置目的端。或单击“操作”列的“更多 > 设置目的端…

九度OJ #1437 To Fill or Not to Fil

题目描写叙述:With highways available, driving a car from Hangzhou to any other city is easy. But since the tank capacity of a car is limited, we have to find gas stations on the way from time to time. Different gas station may give different pri…

armv8 汇编 绝对地址赋值_详解汇编语言B和LDR指令与相对跳转和绝对跳转的关系...

[TOC]为什么要有相对跳转和绝对跳转?顺序执行:指令一条一条按照顺序往下执行,比如变量的定义和赋值都是按照顺序执行的。跳转执行:当指令执行到当前位置后跳转到其他位置执行。比如,在主函数中调用其他函数就是典型的跳…

BZOJ 4034: [HAOI2015]T2 树链剖分

4034: [HAOI2015]T2 Description 有一棵点数为 N 的树,以点 1 为根,且树点有边权。然后有 M 个 操作,分为三种:操作 1 :把某个节点 x 的点权增加 a 。操作 2 :把某个节点 x 为根的子树中所有点的点权都增加…

mysql把游标数据存入表中_mysql数据库怎么使用游标

存储过程完整代码.CREATE DEFINERrootlocalhost PROCEDURE cj_zongfen()BEGINDECLARE yw INT;#语文成绩DECLARE sx INT;#数学成绩DECLARE yy INT;#英语成绩DECLARE d INT;DECLARE nf BOOLEAN DEFAULT TRUE;DECLARE zongfen_cursor CURSOR FOR SELECT yuwen,shuxue,yingyu,cid …

yum安装ruby_centos 6.5 ruby环境安装

redis3.0以上支持集群,自带集群管理工具redis-trib.rb;在搭建集群前,安装ruby环境安装开发工具1、命令:yum groupinstall "Development tools"清理已安装过的2、命令:yum erase ruby ruby-libs ruby-mode ru…

mongodb3.0 性能測试报告 一

mongodb3.0 性能測试报告 一 mongodb3.0 性能測试报告 二 mongodb3.0 性能測试报告 三測试环境: 服务器:X86 pcserver 共6台 cpu: 单颗8核 内存:64G 磁盘: raid 10 操作系统 :centos 6.5 mongo…

db2 某个字段排序_MySQL、Oracle、DB2等数据库常规排序、自定义排序和按中文拼音字母排序...

MySQL常规排序、自定义排序和按中文拼音字母排序,在实际的SQL编写时,我们有时候需要对条件集合进行排序。下面给出3中比较常用的排序方式,mark一下1.常规排序ASC DESCASC 正序DESC倒叙-- 此处不用多讲2.自定义排序自定义排序是根据自己想要的…

QML官方系列教程——QML Applications

附网址:http://qt-project.org/doc/qt-5/qmlapplications.html假设你对Qt的官方demo感兴趣,能够參考本博客的另一个系列Qt5官方demo解析集每一个绿色字体均是一篇博文连接。请收藏本文,本文会持续更新 。QML Applications —— QML应用程序QM…

51单片机基本刷屏测试实验_基于单片机的发动机振动速度、位移和加速度测量方法...

Single-chip microcomputer-based measuring of engine vibration  speed、displacement and accelerationAbstract: This paper presents a measuring method of engine vibration speed、displacement and acceleration。At first the signal from vibration senor of engin…

python正则表达式group用法_【Python】正则表达式用法

导读:正则在各语言中的使用是有差异的,本文以 Python 3 为基础。本文主要讲述的是正则的语法,对于 re 模块不做过多描述,只会对一些特殊地方做提示。很多人觉得正则很难,在我看来,这些人一定是没有用心。其…

HTTP 错误 404.3 – Not Found 由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本,请添加处理程序。如果应下载文件,请添加 MIME 映射。...

今天,在vs2013中新建了一个placard.json文件,当我用jq读取它的时候,去提示404,直接在浏览器访问这个文件,提示: HTTP 错误 404.3 – Not Found 由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本&…