0

在我的 Internet 安全课程中,我得到了一个项目,我最终将通过创建证书来利用网站上的“记住我的密码”,手动将其放入我的“客户端”浏览器中以获得信任,然后能够当客户端连接到网站的服务器时,嗅探所有会话 ID。完成此操作后,我将使用会话 ID 发布到个人资料提要(例如 Twitter),但这部分将在课程后面进行。但是,我不知道我首先要如何使用证书?如果它是一个真正的网站,我想我会制作该网站的副本或网络钓鱼版本,但这不是我的教授想要的。他说要创建证书,将其上传到我用来登录推特的任何浏览器中,不知何故我' 将能够嗅探加密流量并使用 PCAP 库查看会话 ID。他想要的只是让我在报告中记录ID..

我正在考虑使用类似于 DHCP 流氓服务器的东西,但我认为我不会使用我自己制作的证书。

4

1 回答 1

0

终止代理是执行此操作的最简单方法。如果您正在寻找一种快速简便的方法来实现这一点,有一个用于 pfSense 的 Squid 插件可以让这变得相当容易。您仍然需要将密钥导入 Wireshark 以查看明文。

这里有一个非常简单的步骤

于 2019-04-17T22:00:34.127 回答