《中华人民共和国网络安全法》:
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具:明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
(以下操作仅用于网络安全靶场演练。若将此类技术应用于真实网站、服务器或个人设备,造成信息泄露、财产损失或其他严重后果,行为人将依法承担相应的民事赔偿责任,情节严重的还将被追究刑事责任。)
现在互联网这么发达,大家都喜欢在各种平台上进行网购,从0元到几十元,再到上百元甚至上千上万元等。 网络上的商品林良满目,再通过大数据进行推流,使得你看到什么就想买。由于你经常网购也就造成自己的荷包都被压扁了。今天我就跟大家分享一下自己在网络安全靶场学习的经历这内容也与网络安全有关,分享给大家。 之前讲的TCP/IP模型大家应该有所了解,tcp/ip模型可以分成四层或者五层,四层(自顶向下):应用层、传输层、网络层、网络接口层。(有些可能是五层,从OSI模型中有数据链路层没有合并,或者其他情况)
今天我主要学的内容是有关于应用层的协议,HTTPS/HTTP 协议(超本本传输协议),HTTPS=HTTP+加密, https协议的加密手段大家可以去了解非对称加密和对称加密以及哈希表等。对称加密(规则:公钥加密-->私钥加密;私钥签名-->公钥验证)。我们的电脑就是客户端,用虚拟机搭建的网络安全靶场(靶机用的是Windows server 2003)。记住网络靶场的使用是你可以出通过虚拟机里靶机(通过win+R打开运行,在终端输入ipconfig /all ,进行查看IP地址IPv4)。要注意HTTP/https的差别,因为你知道IP地址,但是协议跟搭建的靶场不同你是打不开网站的。 我们今天将要使用的工具是Burpsuite proessional v2025,firefox.bp这个工具我就不多讲了,它是一个抓包工具。
HTTP的请求报文:POST and GET
如图,
你可以学习GET和POST报文的理解和掌握就可以知道抓住关键的信息,并且使用它就行了。
通过bp抓包得到有用的数据包,就能够实现。
如图,
(此图为靶场实现成功后的图)
(本人是初学者,在有些地方可能存在不对的地方或者哪里需要改进,请大家多提意见,谢谢!)
