2024年用 HTTPS 就安全了?HTTPS 会被抓包吗?(2),2024年最新网络安全编程基础教程

最新推荐文章于 2024-06-07 10:05:34 发布
最新推荐文章于 2024-06-07 10:05:34 发布
阅读量961 收藏 22
点赞数 17
分类专栏: 程序员 文章标签: 安全 https web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84302796/article/details/138504023
版权

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

HTTPS 的整体过程分为证书验证和数据传输阶段,具体的交互过程如下:

证书验证阶段:

  • 浏览器发起 HTTPS 请求。

  • 服务端返回 HTTPS 证书。

  • 客户端验证证书是否合法,如果不合法则提示告警。

数据传输阶段:

  • 当证书验证合法后,在本地生成随机数。

  • 通过公钥加密随机数,并把加密后的随机数传输到服务端。

  • 服务端通过私钥对随机数进行解密。

  • 服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输。

为什么数据传输是用对称加密?

首先,非对称加密的加解密效率是非常低的,而 HTTP 的应用场景中通常端与端之间存在大量的交互,非对称加密的效率是无法接受的。

另外,在 HTTPS 的场景中只有服务端保存了私钥,一对公私钥只能实现单向的加解密,所以 HTTPS 中内容传输加密采取的是对称加密,而不是非对称加密。

为什么需要 CA 认证机构颁发证书?

HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器,而 HTTPS 协议主要解决的便是网络传输的安全性问题。

首先我们假设不存在认证机构,任何人都可以制作证书,这带来的安全风险便是经典的“中间人攻击”问题。

“中间人攻击”的具体过程如下:

过程原理如下:

  • 本地请求被劫持(如 DNS 劫持等),所有请求均发送到中间人的服务器。

  • 中间人服务器返回中间人自己的证书。

  • 客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输。

  • 中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密。

  • 中间人以客户端的请求内容再向正规网站发起请求。

  • 因为中间人与服务器的通信过程是合法的,正规网站通过建立的安全通道返回加密后的数据。

  • 中间人凭借与正规网站建立的对称加密算法对内容进行解密。

  • 中间人通过与客户端建立的对称加密算法对正规内容返回的数据进行加密传输。

  • 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密。

由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

浏览器是如何确保 CA 证书的合法性?

①证书包含什么信息?

证书包含信息如下:

  • 颁发机构信息

  • 公钥

  • 公司信息

  • 域名

  • 有效期

  • 指纹

②证书的合法性依据是什么?

首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。

另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。

所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

③浏览器如何验证证书的合法性?

浏览器发起 HTTPS 请求时,服务器会返回网站的 SSL 证书。

浏览器需要对证书做以下验证:

  • **验证域名、有效期等信息是否正确。**证书上都有包含这些信息,比较容易完成验证。

  • **判断证书来源是否合法。**每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证。

  • **判断证书是否被篡改。**需要与 CA 服务器进行校验。

  • **判断证书是否已吊销。**通过 CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现。

其中 OCSP 可用于第 3 步中以减少与 CA 服务器的交互,提高验证效率。

以上任意一步都满足的情况下浏览器才认为证书是合法的。

**这里插一个我想了很久的但其实答案很简单的问题:**既然证书是公开的,如果要发起中间人攻击,我在官网上下载一份证书作为我的服务器证书,那客户端肯定会认同这个证书是合法的,如何避免这种证书冒用的情况?

其实这就是非加密对称中公私钥的用处,虽然中间人可以得到证书,但私钥是无法获取的。

一份公钥是不可能推算出其对应的私钥,中间人即使拿到证书也无法伪装成合法服务端,因为无法对客户端传入的加密数据进行解密。

④只有认证机构可以生成证书吗?

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84302796
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android平台HTTPS抓包全方案,framework源码
m0_55956883的博客
09-09 980
<?xml version="1.0" encoding="utf-8"?> <manifest … > <application android:networkSecurityConfig="@xml/network_security_config" ... > ... </application> <?xml version="1.0" encoding="utf-8"?> <network-securi.
科莱,抓包网络安全,渗透
01-04
科莱,抓包网络安全,渗透必备工具中文方便使用
网络安全-基于Java开发的网络安全Ipv6抓包项目.zip
04-03
网络安全_基于Java开发的网络安全Ipv6抓包项目
面试管:用了HTTPS安全了吗?HTTPS 抓包吗?,2024最新写得太好了
ccc6553584的博客
04-14 949
服务端通过私钥对随机数进行解密服务端通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输。
小程序抓不到包可能存在的问题_微信小程序无法抓包(1),2024最新彻底帮你搞懂
m0_61943758的博客
04-16 430
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;到此为止,大概1个月的时间。//其实这种有的情况属于证书问题,大厂的app不信任你的证书。
为什么如此安全https协议却仍然可以被抓包呢?
郭霖的专栏
06-07 1万+
上一篇原创写了一篇关于抓包的文章,教大家如何在Android手机上对https协议的请求进行抓包https协议是一种非常安全的数据传输协议,它在网络上传输的所有内容都是经过加密的。这可能也让一些小伙伴非常不解,如此安全https协议为什么也能被抓包?这样不就说明这个协议也并不安全吗? 其实并不是如此。https协议确实是非常安全的,但同时,用https协议传输的数据也确实是可以被抓包的,它们两者之间并不冲突。 那么今天,我们就来探究一下,为什么说它们两者之间并不冲突,以及市场上那些主流的抓包工具
用了HTTPS安全了吗?HTTPS 抓包
360linker
11-16 942
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTT...
微信小程序抓包https抓包的血泪史
热门推荐
HAPP NEW JAVA
06-14 2万+
最近调试小程序发现无法使用chales抓包,为了搞清楚这个问题,找了相关资料分析了下。 在Android7.0及以上的系统中,每个应用可以定义自己的可信CA集集。 默认情况下,应用只信任系统预装的CA证书,而不信任用户安装的CA证书 安卓系统 7.0 以下版本,不管微信任意版本,都信任系统提供的证书 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信信任系统提供的证书 安卓...
一文解决APP+小程序+电脑端小程序抓https数据包问题
akucoco的博客
08-04 3464
最近有很多朋友问我APP和小程序应该怎么抓包,为什么抓不了https请求包,网上说法很多这里就一篇文章统一解决下大家的问题。
fiddler https 443 终极解决办法
f13740467的专栏
03-13 8649
如果你是在自己家里,几乎没上面的问题。有问题参照 https://www.cnblogs.com/joshua317/p/8670923.html 几乎都可以解决。 如果参照上面还是无法解决,一般是在公司的网络环境下。 Well, it seems that in the end it was a Windows Issue. My PC is part of the company Do...
burp网络安全抓包环境安装
07-24
burpsuite安装教程
BurpSuite的下载安装_http抓包改包重放_安全渗透教程.rar
11-14
BurpSuite2021的下载安装,环境变量配置,http抓包,改包,重放, 以及安全测试,渗透攻击教程
怎么防止ios系统被抓包?防止ios系统被抓包的方法
08-28
怎么防止ios系统被抓包?下面小编就为大家分享一篇防止ios系统被抓包的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
2024最新面试管:用了HTTPS安全了吗?HTTPS 抓包吗?,该如何高效实用Kotlin
2401_84301227的博客
05-06 535
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。抓包工具的使用方法是生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。
安全生产月”专题报道:AI智能监控技术如何助力安全生产
TSINGSEE青犀视频官方技术博客
06-04 825
方案能够通过对人员行为的识别和分析,判断是否存在安全隐患。这些功能的实现,有助于企业提高安全管理水平,减少因人为因素导致的安全事故。
读书笔记-《软件定义安全》之二:SDN/NFV环境中的安全问题
wuxiaobing1234的博客
06-07 584
南向协议主要侧重于南向接口上的数据转发、网络配置、数据平面信息收集等功能。OpenFlow协议OpenFlow是SDN的标志性技术,他体现了SDN的核心思想:控制与转发分离。它通过流表控制技术支持用户对数据流行为进行控制。OpenFlow交换机根据流表来转发数据包,代表数据转发平面;控制器通过全网络视图来实现管控功能,其控制逻辑表示控制平面。OpenFlow协议的发展演进一直都围绕着两个方面,一方面是控制平面的增强,让系统功能更丰富、更灵活;
纷享销客安全体系:数据安全
最新发布
fxiaoke_com的博客
06-07 487
纷享销客CRM系统部署了综合性的防勒索软件系统,该系统融合了网络分区、访问控制以及备份解决方案等多重防护措施,旨在有效应对针对企业的勒索软件攻击,从而确保企业数据的安全性和业务的连续性。同时,公司积极响应数据主体的各种隐私权利要求,如访问权、更正权和删除权等,确保个人信息安全、机密,并防止任何未经授权的访问和滥用行为的发生。当租户发出请求时,系统要求携带经过高标准加密的身份信息,以便数据隔离算法能够精确识别不同租户的请求,并据此决定数据的存储与读取路径,从而满足租户间数据隔离的严格需求。
使用https数据传输协议传输数据,抓包到吗?
06-13
使用HTTPS协议传输数据时,通信过程是经过加密的,因此抓包者无法直接获取明文数据。HTTPS协议使用了SSL/TLS协议进行通信,这些协议使用了公开密钥加密(Public Key Encryption)和对称加密(Symmetric Key Encryption)等技术,从而保证了通信过程的安全性。 虽然HTTPS协议可以保证通信过程的安全性,但是并不能完全杜绝数据泄露的风险。如果客户端或服务器端存在安全漏洞,攻击者可以通过各种方式绕过HTTPS协议的保护,例如通过中间人攻击(Man-in-the-middle attack)、SSL剥离攻击(SSL Stripping)等方式获取数据。此外,如果客户端或服务器端存在恶意软件,攻击者也可以通过恶意软件窃取数据。 因此,在使用HTTPS协议传输数据时,还需要采取一些其他的安全措施,例如使用加密算法对数据进行加密、使用防火墙等安全设备对网络进行保护、加强系统安全管理等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值