[F20_WebFund] Lab1 資工二甲 408261723 黃寶德

Group content visibility: 
Use group defaults
Groups audience: 

第一部分:WireShark

透過WireShark捕捉登入輔大時的網路封包並解析以下資訊

連線網址:輔大學生資訊入口

http://140.136.251.210/student/

1.使用Get方法提交資訊

使用Get的方法:會將表單中的資訊透過URL傳遞到伺服器(資訊基本曝露在外)

在URL中會以『?』開頭並將元素與值使用等號對應(鍵值對)

[圖片]

2.使用Post方法提交資訊

使用Post方法會將表單中的資訊放在message的body中傳送,雖然比起Get來說隱蔽很多,

但如果使用WireShark這種封包窺探軟體,資訊依然是會被查看到的(除非有做加密或特殊編碼)

[圖片]

3.Cookie的設定與功能

伺服器會在使用者登入網站後給予瀏覽器一組Cookie以方便下次再次進入網站時,不用二次提交一些資訊,如帳號密碼、購物清單、備忘錄等等訊息,但Cookie往往是有時效性的,可透過Set-Cookie規範。

[圖片]

4.Set-Cookie的規範

簡單來說就是規範一份Cookie的內容,如時效、資訊、項目、表示方法...

在Set-Cookie中,可以規範Cookie的時效性,也就是Cookie的作用時間,一旦失效則等同於沒有提交Cookie

也可以規範Cookie中要保存的訊息,如可以設定保存帳號、密碼、回答問題後的結果等等。

[圖片]

 

第二部分:Browser tool/plugin

我使用的是Chrome自帶的開發人員模式(F12),裡面可以查看一個網頁中的所有項目,

如HTML、CSS、JS等等的嵌入,並可以自行修改(不會影響真正的網頁)

修改後,再次渲染在自己的Brower上,以下是實際例子:

連線位置:慕課網

https://www.imooc.com/

透過更改某塊Div的Background-Color並給予『!important』的關鍵字,使其Override其他的CSS指令

[更改前]背景色為灰色(#FFF)

[更改後]背景色為粉紅色(pink)

第三部分:心得

因為自己有JavaWeb開發的經驗,所以看一個網站往往都是從後端或者是架設的角度在看一個網頁,早已不是單單站在使用者的角度,這次有機會換成一個小haker透過WireShark來窺探網路封包,使我對網站的安全與架設又有另一層次的看法。有兩點令我相當驚訝。

第一點:Cookie的"隱私"問題

原來是可以透過解析網路封包來查看Cookie資訊,並透過一些手段查看設定內容

(雖然我沒實際去做,但似乎是可行的)

第二點:Get Post是如此的毫無遮掩

在WireShark的窺探下,幾乎都能窺探使用者與網站間的訊息(除了一些部份被加密過或特殊保護過的重要資訊)

或許身為網站開發者,必須擁有更深入、更全面的資訊安全觀念,才能保護使用者的資訊與隱私。