公共场合使用wifi热点，看完这个你还用吗？

今天我们一起了解下Windows下的无线热点蜜罐的应用与暴露再公共安全下的风险，供大家参考。看下无线蜜罐

是不是很牛B，想到了架设一个无密码WIFI，让目标自动连接后再来分析其机器的网络数据，我们设想一下,如果是一个不让进的,或者什么高级产所,我们的 wifi 信号不够广, 我们可以用一个小车子,将 wifi 热点放上去. 开启明显的 ssid. 杀进去、那得有多少孤魂战死沙场啊！哈哈

读者也可以参考下，本人也实践过，确实比较方便， 但是本机器出现分享的网络不稳定情况，所以放弃这种方式，我们换一种更加简便的方式来杀。

工具：腾讯全民WIFI(360随身WIFI、猎豹WIFI、华为、小米啊等等)

本节使用腾讯全民WIFI搭建了一个无密码热点。使用wireshark监听本地网卡数据，等待目标机器连接。

这里使用网上找的的客户端APP做了测试，连接此免费WIFI蜜罐后，顺利抓到需要的东西。

只要APP使用明文传输数据，在WIFI蜜罐下均可能泄露重要信息，有人可能会说使用HTTPS传输就安全，下面将演示由于编码不规范造成的HTTPS在WIFI蜜罐下也可能被嗅探。

在Windows下WIFI热点嗅探HTTPS原理与实现

在安卓APP中通常在进行账号密码验证中使用HTTPS，谷歌提供了安全的API供开发者调用，但是开发者由于各种原因未能按照规范进行使用，导致自身产品出现漏洞。原理说明，最重要的一点就是开发者未能严格校验证书导致漏洞存在，谷歌提供的HTTPS API要求开发者对签名CA是否合法，域名是否匹配，是不是自签名证书，证书是否过期做检查，但是大多数开发者实现的代码如下：

这段代码已经很清晰的暴露了问题。

实现WIFI蜜罐下嗅探HTTPS

开启两台虚拟机，一台用于用于搭建WIFI蜜罐，一台用于嗅探HTTPS。WIFI蜜罐如上一步已经搭建完成，在另外一台机器开启cain。首先激活网卡

选择ARP

选择欺骗对象，左边选中网关，右边选择欺骗对象（也就是搭建WIFI蜜罐的机器）

选择HTTPS，输入需要嗅探的HTTPS IP，下载证书，然后进行欺骗。环境已经OK，然后坐等数据吧。Cain很人性化的将HTTPS请求与返回数据都捕获到了。

看到了吗客户端资料服务端信息暴露出来了把，现在移动端APP编码规范称次不齐，笔者已经在多款APP发现有这些问题，在这里也提醒大家不要去连接未知的WIFI，即使写明了密码，如果实在需要连接也不要使用密码操作等敏感行为，以免自己的隐私信息暴露出来。