websocket测试基础

admin

138823
文章

114
评论

2023年11月11日22:21:46评论24 views字数 959阅读3分11秒阅读模式

websockert

HTML5
基于TCP协议的独立的通信协议

URI格式

ws://

类似与http
使用明文传输，默认端口为80
ws://host[:port]path[?query]

wss://

类似于https
使用TLS加密传输,默认端口为443
wss://host[:port]path[?query]

通信协议

客户端

GET / HTTP/1.1
Host: localhost:8080
Origin: http://127.0.0.1:3000
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: w4v7O6xFTi36lq3RNcgctw==

Connection:Upgrade：表示要升级协议
Upgrade:websocket：表示要升级到websocket协议。
Sec-WebSocket-Version:13：表示websocket的版本。如果服务端不支持该版本，需要返回一个 Sec-WebSocket-Versionheader，里面包含服务端支持的版本号。
Sec-WebSocket-Key：

服务端：响应协议升级

HTTP/1.1 101 Switching Protocols
Connection:Upgrade
Upgrade: websocket
Sec-WebSocket-Accept: Oy4NRAQ13jhfONC7bP8dTKb4PTU=

websocket渗透学习

https://github.com/snoopysecurity/dvws-node
https://portswigger.net/web-security/websockets

工具使用

burp不支持websockert爆破，协议转换 http-->websockertHTTP2WebSocket

websocket测试基础

剩下的就按照平常的方法去做就好了

至于报告和学习的话，可以在这个里面查一些资料进行学习

https://hackerone.com/hacktivity/overview?queryString=websocket&sortField=disclosed_at&sortDirection=DESC

websocket测试基础

原文始发于微信公众号（白安全组）：websocket测试基础

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

websocket测试基础

websockert

URI格式

通信协议

服务端：响应协议升级

websocket渗透学习

工具使用

打靶日记 Pinkys Palace v2

内存取证 - 练习篇3(Lovelymem一把梭)

一文玩转验证码漏洞

HTB_Nocturnal

应急响应-Spring框架内存马定性与其他补充内存马

应急响应-工具-ELK日志分析系统与Yara规则识别样本

Windows 通用日志文件系统（CLFS）解析

【渗透测试】Noob: 1靶场渗透测试

从JS源码分析到任意用户登录

记一次诈骗网站渗透测试

发表评论

在线咨询

微信