Quindi vuoi curiosare con PFS:
Quindi ci sono diversi modi per farlo. Ma alcune delle cose che stai chiedendo ti richiedono più del quadro per discernere. Vedremo quello che stai proponendo: break-and-inspect.
Interrompi e controlla
Break-and-inspect richiede che siamo in grado di aprire il TLS e che i codici EC (DH) sono progettati per essere resistenti al MITM. C'è stato un bel post un po 'indietro che ha superato le limitazioni ( Decodifica di TLS in Wireshark quando si utilizzano le cipherità DHE_RSA .) Tl; dr, sono necessarie le chiavi pre-master dell'applicazione e un modo per consumarle.
Un altro modo per rompere e ispezionare è spostare il punto di terminazione TLS su un dispositivo che puoi usare come strumento (un proxy apache / nginx di qualche tipo). Se hai un altro dispositivo che trasmette richieste a tuo nome, puoi controllare che traffico attraverso l'applicazione del proxy.
Chiedi al server
Infine, il modo in cui tenterei di farlo è: guarderei al server web stesso. Quasi tutte le informazioni che hai menzionato (4XX, registri URI, timeout sessione tcp ecc.) Possono essere ricavate dai log del server web.
Madness
Se dovessimo svolgere questa attività senza interruzioni e ispezioni, o accedere ai log del server web e non avessi tempo, potrei provare e ( link ) implementare un pratico attacco alla bicicletta poiché ho accesso al testo non criptato per cose come 404 pagine, ecc. Non saresti in grado di ottenere informazioni significative sugli errori, solo confidenza che ci sono stati errori, ecc. Qualsiasi tipo di ispezione di rete catturerà i disconnessi di livello TCP / IP, ecc., ma sarai comunque limitato a ciò che puoi effettivamente vedere.