[求助]HTTPS网站抓包-WEB安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
sjh_pediy 雪币： 288 活跃值： (279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 110 粉丝 0 关注私信	sjh_pediy 2 楼只能中间人 2018-5-27 11:32 1
金利雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	金利 3 楼中间人劫持，替换证书 2018-5-28 19:11 0
mdtek 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	mdtek 4 楼 tls的文章课程都已有了，关注微信公众号：文有张飞 2018-5-29 21:25 0
sydeny 雪币： 15 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 1 关注私信	sydeny 5 楼看了一下楼上老几位的回复，其实针对于实战经验较为丰富的人来说，很多时候安全威胁都是发生于某类平台的业务逻辑框架设计的缺陷，像初期的那些sql注入，Xss，CSRF这些漏洞已经很少，就算是有也大多数都以其他方式，比如什么安全狗啊，堡垒机啊进行了规避。而业务逻辑漏洞可能因为测试对象的框架设计问题导致数据穿墙，造成很多时候直接越权访问等等。Https现在虽然应用比较广，但是正如你的思路一样，认为有了Https就安全了，其实是错误的。对付https的方法，就我所知，就有两种了，burpsuite可以下载SA证书，然后抓取数据包。还有就是根据测试对象类型，hook出数据。不仅是app端，web端也是可以HOOK的 2018-6-14 17:07 0
大圣嫁到雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	大圣嫁到 6 楼方法总是有的，慢慢找了 2018-6-19 09:42 0
mfxiaosheng 雪币： 44 活跃值： (127) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	mfxiaosheng 7 楼 fiddler 2018-6-19 10:20 0
cijian 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	cijian 8 楼 burp Suite。 2018-7-19 09:11 0
KuPoint 雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	KuPoint 9 楼 Charles 可以，需要简单设置下 http://blog.yuccn.net/archives/269.html 最后于 2018-8-9 12:42 被KuPoint编辑，原因： 2018-8-9 12:41 0
wx_Mr.Chen 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_Mr.Chen 10 楼搞到证书就好办了 2019-10-16 09:29 0
xjklewh 雪币： 403 活跃值： (798) 能力值： ( LV4，RANK：58 ) 在线值：发帖 3 回帖 25 粉丝 3 关注私信	xjklewh 12 楼 Burp Suite 、Fiddler、Charles 都可以生成证书，导入后就可以看到请求体的内容 2020-8-13 15:11 0
majianwei 雪币： 52 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	majianwei 13 楼 wireshark 设置tls的sslkeylogfile,chrome启动时候加参数--ssl-key-log-file=xxx.log,命令行的话管理员模式启动 2020-8-31 13:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
sjh_pediy 雪币： 288 活跃值： (279) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 110 粉丝 0 关注私信	sjh_pediy 2 楼只能中间人 2018-5-27 11:32 1
金利雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	金利 3 楼中间人劫持，替换证书 2018-5-28 19:11 0
mdtek 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	mdtek 4 楼 tls的文章课程都已有了，关注微信公众号：文有张飞 2018-5-29 21:25 0
sydeny 雪币： 15 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 1 关注私信	sydeny 5 楼看了一下楼上老几位的回复，其实针对于实战经验较为丰富的人来说，很多时候安全威胁都是发生于某类平台的业务逻辑框架设计的缺陷，像初期的那些sql注入，Xss，CSRF这些漏洞已经很少，就算是有也大多数都以其他方式，比如什么安全狗啊，堡垒机啊进行了规避。而业务逻辑漏洞可能因为测试对象的框架设计问题导致数据穿墙，造成很多时候直接越权访问等等。Https现在虽然应用比较广，但是正如你的思路一样，认为有了Https就安全了，其实是错误的。对付https的方法，就我所知，就有两种了，burpsuite可以下载SA证书，然后抓取数据包。还有就是根据测试对象类型，hook出数据。不仅是app端，web端也是可以HOOK的 2018-6-14 17:07 0
大圣嫁到雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	大圣嫁到 6 楼方法总是有的，慢慢找了 2018-6-19 09:42 0
mfxiaosheng 雪币： 44 活跃值： (127) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	mfxiaosheng 7 楼 fiddler 2018-6-19 10:20 0
cijian 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	cijian 8 楼 burp Suite。 2018-7-19 09:11 0
KuPoint 雪币： 3 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	KuPoint 9 楼 Charles 可以，需要简单设置下 http://blog.yuccn.net/archives/269.html 最后于 2018-8-9 12:42 被KuPoint编辑，原因： 2018-8-9 12:41 0
wx_Mr.Chen 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_Mr.Chen 10 楼搞到证书就好办了 2019-10-16 09:29 0
xjklewh 雪币： 403 活跃值： (798) 能力值： ( LV4，RANK：58 ) 在线值：发帖 3 回帖 25 粉丝 3 关注私信	xjklewh 12 楼 Burp Suite 、Fiddler、Charles 都可以生成证书，导入后就可以看到请求体的内容 2020-8-13 15:11 0
majianwei 雪币： 52 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	majianwei 13 楼 wireshark 设置tls的sslkeylogfile,chrome启动时候加参数--ssl-key-log-file=xxx.log,命令行的话管理员模式启动 2020-8-31 13:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复