为什么无法抓取到http之间的明文传输

原创 已于 2026-05-11 09:19:20 修改 · 661 阅读 · 5
标签
#http #网络协议 #网络
于 2026-04-30 13:31:11 首次发布

背景:
做数字证书的实验之前,想去复现http不安全 的场景。现在A主机(10.150.4.4,图1)默认的网址有输入用户名和密码的功能(相关的配置和脚本代码已经配置好,图2),在另外一台B主机(10.150.4.33,图3)去访问http://10.150.4.4的网站,并且输入用户名和密码,此时一直打开抓包软件科来,无法抓取到明文(图4)。用了AI,也不知道如何去排错(图5)。相关的图片如下:

图0 AI设计的实验方案:
在这里插入图片描述

要在当前这个页面中设计一个 HTTP 不安全实验,使得用户在页面上输入的用户名和密码能通过抓包软件(如 Wireshark、Fiddler、Burp Suite 等)被抓取为明文,你需要满足以下条件:

✅ 实验原理

  1. 页面通过 HTTP 协议加载(非 HTTPS)→ 数据未加密。
  2. 表单提交目标是 HTTP 地址(如 http://your-server/login)。
  3. 不使用任何前端加密(如 JavaScript 加密、HTTPS、HSTS)。
  4. 后端接收数据后不做加密存储或直接返回(可选,仅用于验证)。

✅ 步骤一:修改你的 HTML 页面(关键)

你当前的页面是静态的,表单 action="#" 不会真正提交。我们需要:

✅ 修改 1:将表单提交到一个 HTTP 后端服务(本地或远程)

假设你在本机运行一个简易的 HTTP 服务器(比如用 Python):

# 在命令行运行(Python 3)
python -m http.server 8080

然后在你的 HTML 中,修改表单的 action 为一个 HTTP 地址

<form id="login-form" action="http://localhost:8080/login" method="post" onsubmit="return validateLogin()">

⚠️ 注意:localhost:8080 是你本机运行的 HTTP 服务器地址。如果你没有后端,可以先用一个“假后端”接收数据。

✅ 步骤二:创建一个简单的“假后端”接收数据(可选)

你可以用 Python 快速创建一个接收 POST 请求的脚本:

🐍 server.py(保存为 .py 文件,运行它)

from http.server import BaseHTTPRequestHandler, HTTPServer
import urllib.parse

class LoginHandler(BaseHTTPRequestHandler):
    def do_POST(self):
        content_length = int(self.headers['Content-Length'])
        post_data = self.rfile.read(content_length)
        data = urllib.parse.parse_qs(post_data.decode('utf-8'))

        username = data.get('username', [''])[0]
        password = data.get('password', [''])[0]

        print("="*50)
        print("抓包成功!明文数据如下:")
        print(f"用户名: {
     
     username}")
        print(f"密码: {
     
     password}")
        print("="*50)

        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()
        self.wfile.write(b"<h1>Login received (for experiment)</h1>")
        self.wfile.write(f b"Username: {username}Password: {password}".encode()
最低0.47元/天 解锁文章
关于明文传输的问题
发哥微课堂
09-12 1万+
引子: 上周拿到一个线上复测的项目,中间有一个明文传输问题,这个问题平时基本不记,客户那测试基本都是内网环境,上线基本都是 https。这个问题之前是这样测试的:抓包,如果内容是明文就记这个问题,这里存在很多的问题。 问题 1:线上环境 https 为什么抓到的包是明文 这个问题很容易搜到答案,原因在于 https 的加密是传输的过程,burp 拦截的数据包没有走到传输那一步,它只相当于拦截...
使用Wireshark抓取http,分析http协议
热门推荐
流量分析
03-01 6万+
一.使用Wireshark抓取http,分析http协议 1.由于现在传输的协议大多采取https,利用SSL加密传输,使得网页使用http明文传输的少之又少,所以,本次的学习目的不在于能够抓取到使用http传输明文的敏感信息,而在于能够找到http的请求和响应是那种特征。以及http协议的各个字段代表的含义及意义。 2.在使用Wireshark之前,获取到本机要使用抓包工具使用的网卡,通过,如...
Wireshark抓取明文http协议)用户名和密码
渗透之路,攻防之间皆学问
02-03 1万+
有关wireshark的安装及功能简介请点击 如果你访问的网站的协议是http的,那么你的数据在网络传输就是明文的,我们可以通过wireshark抓到这一数据。下面将演示用此工具抓取本地搭建的让http协议网站的登录用户名及密码 实验步骤 1.启动wireshark,勾选所在网络 2.双击进去之后,点击左上角红色的正方形先停止捕获 3.填写过滤器,过...
wireshark分析http协议明文传输的危害
qq_51687418的博客
12-06 3271
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 我们打开wireshark选择本地网卡,再输入过滤条件。http协议未采取任何加密措施数据传输都是明文传输,别有用心者可以在数据传输过程中抓取数据不经任何破解就能看到信息存在极大安全隐患如下图: 我们发现输入的账户和账户密码被抓获。 ...
Http调用和Feign调用区别和关系对比总结
bsklhao的博客
06-16 347
HTTP 调用的适用场景:适用于简单的、偶尔的外部 API 调用,或者需要对 HTTP 请求的底层细节(如特殊的 Header、复杂的边缘情况)进行完全控制的场景。Feign 调用的适用场景:是 Spring Cloud 微服务架构下内部服务间通信的事实标准和官方推荐方式。它极大地提升了开发效率,将开发者从繁琐的网络通信代码中解放出来,同时提供了企业级的服务治理能力。
HTTP/HTTPS:从第一次HTTP抓包到理解HTTPS加密原理
2503_90262217的博客
06-17 316
这是一个来自Windows 10/11 上的 Microsoft Edge (Chromium) 浏览器,通过 HTTPS 协议访问百度首页的请求。来源: 桌面端直接导航 (偏好: 喜欢 HTML 格式,支持 Brotli/Gzip 压缩,首选简体中文。隐私: 开启了 DNT (请勿追踪)。状态: 携带了 Baidu 特有的 Cookie(BAIDUID),说明之前已经建立过会话或进行过 A/B 测试标记。如果你是在 Fiddler 中看到这段,通常意味着这是一个正常的首页加载请求,除非。
使用Jmeter进行http接口测试
HUACE4600的博客
06-17 287
这些资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。
实现高性能 HTTP 服务器——C++ epoll + 线程池实战
2301_80196447的博客
06-20 406
是一个基于 C++17 实现的高性能HTTP 静态文件服务器,使用Reactor + 线程池的并发模型,能够在单台机器上高效处理数千个并发连接。核心功能支持http/1.1 GET 请求返回静态文件,比如HTML、CSS、JS、图片等自动识别MIME类型支持自定义404页面此项目使用单 Reactor + 线程池的并发模型。主线程运行 epoll 事件循环,统一管理所有 TCP 连接的网络 I/O。耗时操作(如 HTTP 解析、文件读取、响应构造)全部交给线程池异步处理。
【计算机网络全面教学】应用层核心协议,HTTP/DNS/DHCP/FTP/SMTP全解析Day5(2026年)
我是一颗柠檬的博客
06-14 577
应用层协议概述 应用层是网络协议栈的最上层,直接面向用户应用程序。本文详细介绍了应用层的核心协议,包括HTTPHTTPS和DNS等,采用类比方式帮助理解复杂概念。 文章首先对比了C/S架构和P2P架构的特点,然后重点解析HTTP协议,用餐厅点餐类比HTTP请求过程,详细说明请求方法、状态码和版本演进。特别对比了GET和POST方法的差异,并列举常见状态码的餐厅场景映射,使抽象概念具象化。 对于HTTPS,文章解释了其加密原理和TLS握手过程,并与HTTP进行了安全性对比。最后介绍了DNS解析流程和常见记录
现代 HTTP 客户端深度解析:Fetch 与 Axios
黄裳博客
06-16 555
本文系统介绍了现代前端HTTP客户端技术,重点对比了Fetch API和Axios的核心功能与使用场景。内容涵盖: 技术演进:从XHR到Promise再到Fetch/Axios的发展历程,分析各技术优缺点及适用场景 Fetch详解:包括基础用法、Request/Response对象、CRUD操作实现及错误处理 Axios指南:核心功能、拦截器机制、请求取消等高级特性 REST实践:设计原则、规范说明,配合json-server搭建模拟环境 进阶应用:请求拦截、并发控制、重试机制等生产级解决方案 最佳实践:错
Nginx-http_gzip_static_module
m0_61787196的博客
06-20 607
如果你有任何疑问或想要分享的经验,请在评论区留言交流!
破除网络协议迷雾:TCP、TLS 与 HTTP 的“连环套”逻辑
m0_60277481的博客
06-15 313
本文深入浅出地解析了网络通信中TCP、TLS和HTTP协议的协作机制,指出常见的"HTTP握手"认知误区: 协议分层:TCP负责建立可靠连接(三次握手/四次挥手),TLS实现安全加密(非对称加密交换密钥+对称加密传输数据),HTTP仅处理业务数据传输。 核心原理: TCP通过三次握手验证双向通信能力 TLS握手完成身份认证和密钥交换 HTTP在安全通道建立后才开始传输 关键区别:HTTP本身无状态无连接,所谓"握手"实则是底层TCP和TLS的工作。这种分层设计在不可靠网络上构建了可靠、安全的通信管道。 全文
HTTP 无状态 vs 有状态协议
阿牛哥的博客
06-17 241
HTTP无状态与有状态协议对比 HTTP本质是无状态协议,每个请求独立处理,服务器不保留上下文(如TCP三次握手、FTP会话等有状态协议需维护连接状态)。实际应用中,通过Cookie/Session等技术模拟状态(如登录态)。无状态设计提升扩展性(服务器无亲和性要求),但需应用层自行管理状态。RESTful API强调无状态约束,要求请求必须自带完整上下文信息。有状态协议(如WebSocket)通过持久化连接提高效率,典型如TCP的状态机机制。
第 9 篇|网络请求基础 —— 从 HttpURLConnection 到 OkHttp
Jm0218Xx的博客
06-17 318
本文摘要: 本文系统介绍了Android网络请求开发的关键知识,从基础原理到主流框架实践。首先强调了两大开发铁律:禁止主线程联网和必须声明网络权限。接着详细讲解了原生HttpURLConnection的GET/POST实现方式,并指出其繁琐性。重点介绍了OkHttp框架的使用,包括同步/异步请求、POST提交JSON数据、拦截器应用等核心功能,并提供了线程切换的解决方案。文章还特别提醒了Android 9.0+对HTTP明文流量的限制及适配方法。最后介绍了如何通过拦截器实现统一Header管理和全局OkHt
C++ 连接 Ollama 本地大模型:从原生 HTTP 调用到高性能封装实践
llhllq2015的博客
06-14 423
本文系统介绍了C++集成Ollama本地大语言模型的三种技术方案:基于libcurl的原生HTTP调用、ollama-hpp轻量级封装库以及OpenAI兼容协议接入。详细分析了各方案优缺点及适用场景,重点探讨了流式响应处理、模型生命周期管理和生产环境性能优化策略,包括连续批处理配置、GPU资源优化和上下文窗口调优。文章还提供了工程实践建议和错误处理方案,为C++开发者从快速原型验证到生产部署提供了完整技术参考。通过对比Ollama API与直接集成llama.cpp的性能差异,帮助开发者根据实际需求选择最优
Spring AI 2.0 如何利用 Java 21 的虚拟线程(Virtual Threads)?这对底层 HTTP 客户端和连接池有什么优化?
最新发布
java1234的博客
06-21 193
摘要:Java 21 引入的虚拟线程(Virtual Threads)显著降低了线程管理开销,为高并发场景提供轻量级解决方案。Spring AI 2.0 整合此特性后,通过优化底层 HTTP 客户端(如 RestTemplate)和连接池,实现了更高效的异步请求处理。虚拟线程允许动态分配连接资源,提升复用率,简化代码逻辑。示例中,通过 Thread.ofVirtual() 启动虚拟线程执行非阻塞 HTTP 请求,结合连接池动态管理,显著提升应用吞吐量。这一改进使开发者能够更轻松地构建高性能、响应迅速的 Ja
HttpPrinter 是一款企业级 Web 打印中间件,主要解决网页无法直接控制打印机的问题
web打印
06-17 254
HttpPrinter是一款企业级Web打印中间件,通过本地HTTP服务实现静默打印、精准套打和跨平台适配。支持毫米级位置调整,兼容国产操作系统,适用于票据套打等场景。接入方式包括安装本地服务、配置端口、前端调用API及模板设计,适合医疗、金融等内网业务系统替代传统打印方案。需注意需安装客户端,不适用于纯SaaS场景。
从 SSE 到 Streamable HTTP:看懂 MCP 最新传输协议演进
abcefg_h的博客
06-20 371
SSE(Server-Sent Events,服务器发送事件)是一种基于 HTTP 的实时推送技术。传统 HTTP 的工作方式是:连接结束而 SSE 的工作方式是:Client → 建立连接Server → 持续推送数据Server → 持续推送数据Server → 持续推送数据服务器保持连接不断开,并不断向客户端发送事件。
SQLi-Labs靶场从零搭建到通关全攻略(三):POST注入与HTTP头注入
weixin_50971816的博客
06-21 768
本文作为系列攻略的第三篇,将系统讲解POST型注入、HTTP头注入(User-Agent、Referer、Cookie)以及Base64编码注入。我们将通关Less-11到Less-22,涵盖从登录框注入到密码重置注入、从请求头注入到Cookie注入的全场景实战
Chrome 内网 http 无法调用麦克风摄像头?unsafely-treat-insecure-origin-as-secure 完整配置指南
阿韩的经验分享博客
06-17 268
本文针对前端开发中在非 HTTPS 环境下(如 http://192.168.x.x)无法获取麦克风、摄像头等媒体设备权限的问题,深入分析 Chrome 安全策略对非安全上下文的限制,并提供两种实用解决方案:通过 chrome://flags 标记内网 IP 为安全源(永久生效)或改用 localhost 访问(无需配置),快速解决本地开发环境中的音视频权限拦截问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RunningBComeOn

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值