题目如下
用wireshark打开流量包
筛选post请求
http.request.method==POST
注意到第30行
追踪http流
发现有很奇怪的token
我们知道,
Header会被Base64Url编码为JWT的第一部分。即为:
$ echo -n '{"alg":"HS256","typ":"JWT"}'|base64
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
所以认证为jwt认证
对jwt的token解密得到
知识点:
jwt认证
JWT是一个数字签名,生成的信息是可以验证并被信任的
SON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:
- Header
- Payload
- Signature
即为: xxxx.yyyy.zzzz
其中我们具体了解一下header