抓包前使用iw命令创建一个监听模式(monitor)的接口 iw phy phy0 interface add mon0 type monitor tcpdum抓包命令: tcpdump -nei mon0 type WLAN_TYPE subtype SUB_WLAN_TYPE WLAN_TYPE ...
分类:
其他好文 时间:
2019-12-25 12:44:06
阅读次数:
107
谷歌开发者工具里面这个preserve log :保留请求日志,跳转页面的时候勾选上,可以看到跳转前的请求,也可适用于chrome开发者工具抓包的问题 ...
分类:
其他好文 时间:
2019-12-24 13:31:20
阅读次数:
111
分析客户端代码 通过jeb打开apk获知,核心通信包使用的是mtop sdk,普通抓包工具charles、findler无法捕获相应包的根本原因在于,其采用了网络加载速度表现更卓越的SPDY协议,因此,需要阻止其使用该协议,才能抓包。 代码实现 只需让sdk的全局配置中执行下面这行代码即可: 抓包效 ...
分类:
移动开发 时间:
2019-12-24 11:50:16
阅读次数:
380
普遍的做法是,选择一种方法,试试看;如果失败了,没关系,再试试别的方法。不管怎么样,重要的是先去尝试。 富兰克林·罗斯福 前言 前阵子有同学反馈Flutter中的http请求无法通过fiddler抓包,作者喜欢使用Charles抓包工具,于是抽时间写了个小demo测试了一下,结论是在手机上设置代理, ...
分类:
Web程序 时间:
2019-12-23 18:39:22
阅读次数:
94
fiddler 抓包工具 一、HTTP代理 所谓的http代理,其实就是代理客户机的http访问,主要代理浏览器访问页面。 代理服务器是介于浏览器和web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服 ...
分类:
其他好文 时间:
2019-12-22 18:23:04
阅读次数:
93
web安全 实验报告 实验三 SQL注入 学生姓名 涂君奥 年级 2017级 区队 实验班 指导教师 高见 概 述 SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏 ...
分类:
数据库 时间:
2019-12-22 12:29:50
阅读次数:
150
线上问题的排查有时候需要抓包,但是是https协议的,则需要安装证书 在Android 6.0 (API level 23)及以前,APP默认信任系统自带的CA证书以及用于导入的CA证书,Android 6.0 (API level 23)以后,APP默认只信任系统自带的CA证书,对于用户导入的不予 ...
分类:
移动开发 时间:
2019-12-22 10:55:51
阅读次数:
96
文件上传漏洞 一、client check 首先看到标题是客户端验证 用BURP抓包,由于是客户端的检验,直接将抓到的包的文件后缀.png改成.php 发送后发现成功绕过,上传成功 二、MIME type MIME类型还是要借助Burp工具来利用 将content type文件头改成png的文件头 ...
分类:
Web程序 时间:
2019-12-21 20:37:52
阅读次数:
118
Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求,可以针对特定的HTTP请求,分析请求数据、设置断点、调试web应用、修改请求的数据,甚至可以修改服务器返回的数据,功能非常强大,是web调试的利器。 安装完 ...
分类:
其他好文 时间:
2019-12-21 18:52:46
阅读次数:
104
一、HTTP存在的问题 1.1 可能被窃听 HTTP 本身不具备加密的功能,HTTP 报文使用明文方式发送 由于互联网是由联通世界各个地方的网络设施组成,所有发送和接收经过某些设备的数据都可能被截获或窥视。(例如大家都熟悉的抓包工具:Wireshark) 1.2 认证问题 无法确认你发送到的服务器就 ...
分类:
Web程序 时间:
2019-12-21 13:52:03
阅读次数:
89
