web渗透--51--WebSockets安全测试

已于 2023-07-17 14:06:24 修改
阅读量3.1k 收藏 6
点赞数 5
分类专栏: web渗透 文章标签: web安全 渗透测试 OWASP安全测试
于 2018-09-22 11:15:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82810958
版权

1、WebSockets概述

传统的HTTP协议只允许每个TCP连接一个请求/响应,这是一个半双工的交互模式。HTML5 WebSockets允许客户端/服务器建立一个 “全双工” 通信通道,从而允许客户端和服务器真正实现异步通信。WebSocket通过HTTP进行初始的 “升级” 握手,从那时起,所有通信都通过TCP通道并使用frames。

服务器负责验证在初始的HTTP WebSocket握手中的源标头,如果服务器不对此进行验证,那么WebSocket的服务器可以接受来自任何源的连接。这可能允许攻击者与WebSocket服务器进行跨域通信。

保密性和完整性

WebSocket可以用在通过未加密的TCP或加密的TLS。使用未加密的WebSockets方案:ws://URI(默认端口80),使用加密(TLS)的WebSockets方案:wss://URI(默认端口443)。

认证

WebSockets不处理身份认证,而是使用常规的应用程序的身份验证机制,例如cookies,HTTP身份验证或TLS身份验证。

授权

WebSocket不处理授权,而是使用应用程序的授权机制。

输入处理

与来自不受信任来源的任何数据一样,需要正确过滤和编码。

2、测试方法

确认应用程序使用WebSockets

1、检查客户端代码。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
如何测试websocket接口
测试入坑之路
05-11 1万+
1.websocket简介 websocket 是一种双向通信协议,在建立连接后,websocket服务端和客户端都能主动向对方发送或者接收数据,而在http协议中,一个request只能有一个response,而且这个response也是被动的,不能主动发起。 2. WebSocket优势 当服务器完成协议升级后(HTTP->Websocket),服务端就可以主动推送信息给客户端啦。 就变成了这样,只需要经过一次HTTP请求,就可以做到源源不断的信息传送了。(在程序设计中,这种设计叫做回调,即
详解Spring Cloud微服务架构下的WebSocket解决方案
08-26
主要介绍了详解Spring Cloud微服务架构下的WebSocket解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
渗透测试工具_WebSocket C2 一款后渗透测试工具
weixin_39839410的博客
12-17 754
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。影响范围:3.21.1http://download.sonatype.com/nexus/3/nexus-3.21.1-01-unix.tar.gz修复版本:3.21.2http://download.s...
WebSocket用户验证
最新发布
Waiter软件工作室
04-01 830
WebSocket中,如何携带用户的验证信息。
Websocket长连接接口渗透测试过程随记
Javachichi的博客
06-06 680
最近接到公司的一个API接口测试的项目,除了常规的HTTP协议的API接口外,其中还有一部分是需要测试Websocket接口的。回想了一下除了之前复现Jumpserver漏洞时候用过Websocket,以外就没有对它有过什么研究了。这次也算是第一次与它交手,开始测试的时候就不是很顺利,但是好在最后解决了,故在此做下简单的记录。
websocket 接口如何测试?
一只小鱼
11-04 2万+
什么是 websocket 接口? 使用 websocket 建立长连接,服务端和客户端可以互相通信,服务端只要有数据更新,就可以主动推给客户端。 WebSocket 使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在 WebSocket API 中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。 在 WebSocket API 中,浏览器和服务器只需要做一个握手的动作,然后,浏览器和服务器之间就形成了一条快速通道。两者之间就直接
JMeter测试WebSocket的经验总结
热门推荐
smooth的博客
08-03 5万+
最近有一个微信聊天系统的项目需要性能测试,既然是测试微信聊天,肯定绕不开websocket接口的测试,首选工具是Jmeter,网上能搜到现成的方法,但是网上提供的jar包往往不是最新的,既然是用最新版本的Jmeter4.0,那么所依赖的插件jar包也应该追求新的。所以提供了以下链接供大家下载(甚至连源码都提供): (1)Jmeter工具 (2)websocket请求模板JMet...
渗透基础】第七章 WebSocket
人间体佐菲的博客
09-09 673
websocket与http的区别以及特点
Web渗透测试-实战 方法 思路 总结
2301_76161259的博客
10-19 522
天眼查是一款“都能用的商业安全工具”,根据用户的不同需求,实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索。通过以上不同种类的搜索引擎我们可以获得相当多的有用的信息,甚至平时搜索东西我们也可以通过zoomeye来找到自己想要的东西。ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。并不是所有的格式都会支持,现在百度支持的格式有pdf、doc、xls、all、ppt、rtf,
渗透攻击实例-WebSocket攻击
Python_0011的博客
02-07 1058
跨站WebSocket劫持(也称为跨域WebSocket劫持)是一种由于WebSocket握手流程的安全缺陷所导致的跨站点请求伪造(CSRF)漏洞。当WebSocket握手请求仅依靠HTTP cookie进行会话处理并且不包含任何CSRF token或其他不可预测的值时,就会出现这种漏洞。攻击者可以在自己的站点上创建一个恶意网页,从而建立与易受攻击的应用程序的跨站点WebSocket连接。该应用程序将在受害用户与该应用程序的会话的上下文中处理连接。
esp32-ota-websockets-framework
03-18
ESP32异步Web服务器/ websocket框架示例。连接到wifi从ntp服务器检索时间如果在spiffs中不存在index.htm,则它将默认网页加载到spiffs中。提供客户端与ESP-32之间的实时双向通信可以从客户端界面上传一个新的index....
laravel-websockets-demo:与Laravel WebSockets包一起使用的演示应用程序
02-03
Laravel WebSockets演示 :satellite: 这是一个使用软件包构建的演示应用程序。 请务必查看。用法克隆此存储库composer install cp .env.example .env ...
laravel-websockets:用于Laravel的Websockets。 做对了
02-03
Laravel WebSockets :satellite: 将WebSocket的功能带到您的Laravel应用程序中。 插入式推入器替换,SSL支持,Laravel Echo支持和调试仪表板只是其一些功能。 如果您想学习如何自己创建可重用PHP程序包,请观看我...
WebSockets-iOS
05-12
WebSockets-iOS 这是附带的示例项目
websockets-messenger:使用websockets的演示终端Messenger
05-27
websockets信使 使用websockets的终端Messenger。 安装 $ npm ci 服务器 $ npm run server 使用客户端连接 $ npm run client 客户端名称可以作为ENV变量NAME传递 $ NAME=JEAN npm run client
看我如何分析并渗透WebSocket和Socket.io
Fly_鹏程万里
12-04 2831
Websocket简介 WebSocket是一种允许浏览器和服务器建立单个TCP连接然后进行全双工异步通信的技术。由于它允许实时更新,而浏览器也无需向后台发送数百个新的HTTP polling请求,所以对于web程序来说,WebSocket非常流行。这对于测试者来说是不好的,因为对WebSocket工具的支持不像HTTP那样普遍,有时候会更加复杂。 除了BurpSuite之外,还有一些其他工具...
WS接口的测试
weixin_50502047的博客
01-24 1102
WebSocket (WS) 接口的测试涉及验证 WebSocket 的连接、消息传输、断开连接等功能是否符合预期。
Websocket长连接接口渗透测试过程随记!
logic1001的博客
12-07 1126
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
websockets-client nginx
04-10
对于这个问题,我可以告诉你:WebSockets 是一种在 Web 浏览器和服务器之间进行实时和双向通信的技术。WebSockets 客户端可以与服务器建立持久的连接,从而允许实时通信。而 Nginx 则是一款高性能的反向代理服务器和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值