captura de solicitud POST de Facebook

6

He estado tratando de probar un sniff en los formularios de solicitud POST de Facebook usando wireshark (HTTP filtrado).

En el formulario de inicio de sesión, intentaría iniciar sesión, y luego verificaba wirehark y ver que no se capturó ningún paquete.

Suficientemente extraño, incluso la solicitud GET de www.facebook.com no siempre fue capturada.

¿Por qué ocurre esto? si wireshark no puede capturar un paquete de solicitud POST que se envía a Facebook, ¿cómo recibe Facebook los datos para procesar? Nota: intentar lo mismo en hotmail y también fallar.

Sospecho que se realiza algún tipo de cifrado en los datos que envío para que los piratas informáticos no puedan rastrear datos en las mismas redes.

    
pregunta user3818650 27.04.2015 - 09:10
fuente

3 respuestas

10

Como supuso, Facebook usa HTTPS , lo que significa que las solicitudes a Facebook.com independientemente de si son solicitudes GET o POST no se envían a través de HTTP, sino que se envían a través de HTTPS en una forma cifrada que el filtro 'http' en Wireshark no podrá mostrar como solicitudes HTTP regulares. Si desea ver el tráfico HTTPS cifrado que incluye datos en Facebook, seleccione 'tcp' como filtro y debería encontrar las solicitudes que está buscando. Facebook usa HTTPS para la transmisión por razones de seguridad, como sospechaba, por lo que en realidad Facebook está recibiendo datos, solo que su filtro no se los muestra.

Lea más sobre HTTPS en: enlace

Para la intercepción de solicitudes a Facebook.com use un proxy como Burp Suite u OWASP ZAP . Le permitirán interceptar y modificar / monitorear el tráfico enviado en tiempo real.

Espero que esto ayude.

    
respondido por el Aatif Shahdad 27.04.2015 - 10:27
fuente
4

Recomendaría usar Fiddler para esto en su lugar. Sin embargo, primero deberá MITM, ya que Facebook envía esta solicitud a través de HTTPS.

Puedes hacer esto en fiddler yendo a Tools - > Fiddler Options - > HTTPS y marcando:

  • Capture HTTPS Connects
  • Descifrar tráfico HTTPS

Luego verá una advertencia de miedo, como se muestra a continuación:

Al hacer clic en Yes , se instalará un certificado HTTPS en su computadora, descifrar todo su tráfico HTTPS y mostrarlo en Fiddler. Esto incluye las solicitudes de inicio de sesión de Facebook.

    
respondido por el JMK 27.04.2015 - 17:17
fuente
0

prueba estos filtros de cadena de captura,

1. "tcp contiene" facebook = tcp [((tcp [12: 1] & 0xf0) > > 2): 4] = 0x74637020 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 4: 4] = 0x636f6e74 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 8: 4] = 0x61696e73 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 12: 4] = 0x20666163 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 16: 4] = 0x65626f6f & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 20: 1] = 0x6b

2.tcp contiene facebook y ssl = tcp [((tcp [12: 1] & 0xf0) > > 2): 4] = 0x20227463 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 4: 4] = 0x7020636f & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 8: 4] = 0x6e746169 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 12: 4] = 0x6e732220 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 16: 4] = 0x66616365 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 20: 4] = 0x626f6f6b & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 24: 4] = 0x20616e64 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 28: 4] = 0x2073736c

3.json contiene message = tcp [((tcp [12: 1] & 0xf0) > > 2): 4] = 0x226a736f & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 4: 4] = 0x6e20636f & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 8: 4] = 0x6e746169 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 12: 4] = 0x6e732220 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 16: 4] = 0x6d657373 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 20: 2] = 0x6167 & & tcp [((tcp [12: 1] & 0xf0) > > 2) + 22: 1] = 0x65

    
respondido por el blueeyiz702 22.06.2018 - 04:57
fuente

Lea otras preguntas en las etiquetas