如果我向
发出HTTPS请求subdomain.example.com/api/login?mytoken=JLK90GFSSFGDS4GFRW0
与上传cookie一起,数据包嗅探器可以知道:
一般来说,加密哪些信息以及HTTPS数据包的内容是什么?
答案 0 :(得分:6)
除了主机名之外的所有内容都是加密的 - 因此在您的示例中,域名和子域名是明文,其他所有内容都是加密的。
有关详细信息,请参阅Does SSL also encrypt cookies?。
[编辑:初始版本错误地说明整个网址都是明文。 http://en.wikipedia.org/wiki/Transport_Layer_Security表明服务器和客户端首先协商加密,然后通过此加密链接发送应用层HTTP数据包(带有完整URL)。]
答案 1 :(得分:0)
这取决于你使用哪种类型的http嗅探器。
例如Wireshark使用网卡的特殊模式(通过使用wincap库)并且通常无法解码https流量(但您可以将您的服务器证书添加到wireshark,这将允许wireshark解码https)。
另一方面,HTTP Debugger Pro使用中间人技术,可以解析来自计算机的所有 https流量。但您需要在管理员的权限下手动安装HTTP Debugger Pro。
HTTP Debugger解码HTTPS的Bellow截图。 如您所见,它提供了有关您的请求/响应的所有信息。