背景介绍
小墨了解到从微信6.0开始,其内嵌的浏览器在User Agent字符串中增加了NetType字段用于标识客户端(手机)当前的网络环境,增加之后真的安全吗?
实训目标
1、User-Agent的理解
User-Agent
User-Agent是Http协议中的一部分,属于头域的组成部分,User Agent也简称UA。用较为普通的一点来说,是一种向访问网站提供你所使用的浏览器类型、操作系统及版本、CPU 类型、浏览器渲染引擎、浏览器语言、浏览器插件等信息的标识。UA字符串在每次浏览器 HTTP 请求时发送到服务器!
浏览器UA 字串的标准格式为:
浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息
2、微信浏览器内嵌新增取值内容
微信6.0内嵌浏览器User-Agent字符串增加了NetType字段
NetType字段
3、使用BurpSuite工具修改内容
解题方向
根据页面提示,抓包分析除了判断浏览器类型还判断了微信特有的NetType
分析
解此题有三个信息点:1.User-agent包含NetType字段;2.弹框提示:用iphone手机;3.用2G网络;那么我构造数据包,满足登录要求,通过百度查询NetType的数据结构,从而修改User-agent,然后放包得到key
步骤
找到报文修改User-Agent
放行,成功伪造信息