websocket测试基础
2023-11-11 21:13:7 Author: 白安全组(查看原文) 阅读量:10 收藏

websockert

  • HTML5

  • 基于TCP协议的独立的通信协议

URI格式

  • ws://

    • 类似与http

    • 使用明文传输 ,默认端口为80

    • ws://host[:port]path[?query]

  • wss://

    • 类似于https

    • 使用TLS加密传输,默认端口为443

    • wss://host[:port]path[?query]

通信协议

客户端

  1. GET / HTTP/1.1

  2. Host: localhost:8080

  3. Origin: http://127.0.0.1:3000

  4. Connection: Upgrade

  5. Upgrade: websocket

  6. Sec-WebSocket-Version: 13

  7. Sec-WebSocket-Key: w4v7O6xFTi36lq3RNcgctw==

  • Connection:Upgrade:表示要升级协议

  • Upgrade:websocket:表示要升级到websocket协议。

  • Sec-WebSocket-Version:13:表示websocket的版本。如果服务端不支持该版本,需要返回一个 Sec-WebSocket-Versionheader,里面包含服务端支持的版本号。

  • Sec-WebSocket-Key

服务端:响应协议升级

  1. HTTP/1.1 101 Switching Protocols

  2. Connection:Upgrade

  3. Upgrade: websocket

  4. Sec-WebSocket-Accept: Oy4NRAQ13jhfONC7bP8dTKb4PTU=

websocket渗透学习

  • https://github.com/snoopysecurity/dvws-node

  • https://portswigger.net/web-security/websockets 

工具使用

burp不支持websockert爆破,协议转换 http-->websockertHTTP2WebSocket

剩下的就按照平常的方法去做就好了

至于报告和学习的话,可以在这个里面查一些资料进行学习

https://hackerone.com/hacktivity/overview?queryString=websocket&sortField=disclosed_at&sortDirection=DESC

科学上网点这里

工具集合点这里

实战文章点这里

QQ查I P点这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4MjYxNTYwNA==&mid=2247486917&idx=1&sn=2486c92d58748b3cc03c4d51eddc7755&chksm=fdb4da9ecac3538870c73c78c06d4935813725c92b8ad70003bd29e903a773922c9e15aaa430&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh