Question

4.2.1 测试原理和方法

本机加密传输测试是针对客户端与服务器的数据传输，查看数据是否采用 SSL（Security Socket Layer，安全套接层）加密方式加密。

4.2.2 测试过程

测试验证客户端与服务器交互数据在网络传输过程中是否采用 SSL 进行加密处理，加密数据是否可被破解。测试流程如图 4-13 所示。

图 4-13 本地加密传输测试流程图

步骤一：使用 Wireshark 网络抓包工具，选择与公网连接的本地网卡并开启对网卡流量数据的捕获功能，如图 4-14 所示。

图 4-14 使用 Wireshark 网络抓包工具对本地网卡进行数据捕获

步骤二：在浏览器中访问要测试的 HTTPS 协议网站，并输入用户名及密码进行登录

操作，如图 4-15 所示。

图 4-15 在 Wireshark 捕获状态下对 HTTPS 测试网站进行登录操作

步骤三：在 Wireshark 工具捕获流中找到对应 HTTPS 测试网站登录的请求数据包，对该请求包内容进行分析，判断测试网站交互数据是否真正加密，如图 4-16 所示。

图 4-16 在 Wireshark 工具捕获流中找到对应 HTTPS 测试网站并查看数据是否加密

4.2.3 修复建议

在架设 Web 应用的服务器上部署有效的 SSL 证书服务。