WebSocket 安全测试入门实践

0x01 概述

在近期的渗透测试工作中，笔者发现部分目标网站同时采用了 HTTP 和 WebSocket 协议来完成不同的业务交互，例如：某些网站上传接口使用websocket，导致都不知道怎么测试上传功能。为了补齐这一块的知识盲区，也为今后遇到类似情况时能够快速定位与处置，抽空系统性学习了 WebSocket 协议的基础原理、安全隐患以及常见漏洞测试方法