ws://host[:port]path[?query]
wss://host[:port]path[?query]
客户端
GET / HTTP/1.1
Host: localhost:8080
Origin: http://127.0.0.1:3000
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Version: 13
Sec-WebSocket-Key: w4v7O6xFTi36lq3RNcgctw==
Connection:Upgrade
:表示要升级协议Upgrade:websocket
:表示要升级到websocket协议。Sec-WebSocket-Version:13
:表示websocket的版本。如果服务端不支持该版本,需要返回一个 Sec-WebSocket-Version
header,里面包含服务端支持的版本号。Sec-WebSocket-Key
:HTTP/1.1 101 Switching Protocols
Connection:Upgrade
Upgrade: websocket
Sec-WebSocket-Accept: Oy4NRAQ13jhfONC7bP8dTKb4PTU=
burp不支持websockert爆破,协议转换 http-->websockertHTTP2WebSocket
剩下的就按照平常的方法去做就好了
至于报告和学习的话,可以在这个里面查一些资料进行学习
https://hackerone.com/hacktivity/overview?queryString=websocket&sortField=disclosed_at&sortDirection=DESC