字节一面:https-真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世)(1)

最新推荐文章于 2024-07-09 20:34:17 发布
最新推荐文章于 2024-07-09 20:34:17 发布
阅读量810 收藏 29
点赞数 14
分类专栏: 程序员 文章标签: https 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84912172/article/details/138985122
版权
  1. 服务器收到浏览器发来的值,使用私钥进行解密
  2. 解析成功之后,使用对称加密算法进行加密,传输给客户端

之后双方通信就使用第一步生成的随机数进行加密通信。

https 的加密方式是怎样的,对称加密和非对称加密,为什么要这样设计

从上面我们可以知道,https 加密是采用对称加密和非对称机密一起结合的。

在证书验证阶段,使用非对称加密。 在数据传输阶段,使用对称机密。

这样设计有一个好处,能最大程度得兼顾安全效率。

在证书验证阶段,使用非对称加密,需要公钥和私钥,假如浏览器的公钥泄漏了,我们还是能够确保随机数的安全,因为加密的数据只有用私钥才能解密。这样能最大程度确保随机数的安全。

在内容传输阶段,使用对称机密,可以大大提高加解密的效率。

内容传输为什么要使用对称机密

  1. 对称加密效率比较高
  2. 一对公私钥只能实现单向的加解密。只有服务端保存了私钥。如果使用非对称机密,相当于客户端必须有自己的私钥,这样设计的话,每个客户端都有自己的私钥,这很明显是不合理的,因为私钥是需要申请的。

https 是绝对安全的吗

不是绝对安全的,可以通过中间人攻击。

什么是中间人攻击

中间人攻击是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

HTTPS 使用了 SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;有了这些条件,就可以对请求和响应进行拦截和篡改。

过程原理:

  1. 本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器
  2. 中间人服务器返回中间人自己的证书
  3. 客户端创建随机数,通过中间人证书的公钥对随机数加密后传送给中间人,然后凭随机数构造对称加密对传输内容进行加密传输
  4. 中间人因为拥有客户端的随机数,可以通过对称加密算法进行内容解密
  5. 中间人以客户端的请求内容再向官方网站发起请求
  6. 因为中间人与服务器的通信过程是合法的,官方网站通过建立的安全通道返回加密后的数据
  7. 中间人凭借与官方网站建立的对称加密算法对内容进行解密
  8. 中间人通过与客户端建立的对称加密算法对官方内容返回的数据进行加密传输
  9. 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

由于缺少对证书的验证,所以客户端虽然发起的是 HTTPS 请求,但客户端完全不知道自己的网络已被拦截,传输内容被中间人全部窃取。

https 是如何防止中间人攻击的

在https中需要证书,证书的作用是为了防止"中间人攻击"的。 如果有个中间人M拦截客户端请求,然后M向客户端提供自己的公钥,M再向服务端请求公钥,作为"中介者" 这样客户端和服务端都不知道,信息已经被拦截获取了。这时候就需要证明服务端的公钥是正确的.

怎么证明呢?

就需要权威第三方机构来公正了.这个第三方机构就是CA. 也就是说CA是专门对公钥进行认证,进行担保的,也就是专门给公钥做担保的担保公司。 全球知名的CA也就100多个,这些CA都是全球都认可的,比如VeriSign、GlobalSign等,国内知名的CA有WoSign。

浏览器是如何确保CA证书的合法性?

一、证书包含什么信息?

颁发机构信息、公钥、公司信息、域名、有效期、指纹…

二、证书的合法性依据是什么?

首先,权威机构是要有认证的,不是随便一个机构都有资格颁发证书,不然也不叫做权威机构。另外,证书的可信性基于信任制,权威机构需要对其颁发的证书进行信用背书,只要是权威机构生成的证书,我们就认为是合法的。所以权威机构会对申请者的信息进行审核,不同等级的权威机构对审核的要求也不一样,于是证书也分为免费的、便宜的和贵的。

三、浏览器如何验证证书的合法性?

浏览器发起HTTPS请求时,服务器会返回网站的SSL证书,浏览器需要对证书做以下验证:

  1. 验证域名、有效期等信息是否正确。证书上都有包含这些信息,比较容易完成验证;
  2. 判断证书来源是否合法。每份签发证书都可以根据验证链查找到对应的根证书,操作系统、浏览器会在本地存储权威机构的根证书,利用本地根证书可以对对应机构签发证书完成来源验证;
  3. 判断证书是否被篡改。需要与CA服务器进行校验;
  4. 判断证书是否已吊销。通过CRL(Certificate Revocation List 证书注销列表)和 OCSP(Online Certificate Status Protocol 在线证书状态协议)实现,其中 OCSP 可用于第3步中以减少与CA服务器的交互,提高验证效率。

以上任意一步都满足的情况下浏览器才认为证书是合法的。

https 可以抓包吗

HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。

但是,我们可以通过抓包工具来抓包。它的原理其实是模拟一个中间人。

通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。

关于 httpps 抓包的原理可以看这一篇文章。

Android平台HTTPS抓包解决方案及问题分析

有人可能会问了,既然 HTTPS 不能防抓包,那 HTTPS 有什么意义?

HTTPS 可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被pojie。

扩展

如何防止抓包?

对于HTTPS API接口,如何防止抓包呢?既然问题出在证书信任问题上,那么解决方法就是在我们的APP中预置证书。在TLS/SSL握手时,用预置在本地的证书中的公钥校验服务器的数字签名,只有签名通过才能成功握手。由于数字签名是使用私钥生成的,而私钥只掌握在我们手上,中间人无法伪造一个有效的签名,因此攻击失败,无法抓包。

同时,为了防止预置证书被替换,在证书存储上,可以将证书进行加密后进行「嵌入存储」,如嵌入在图片中或一段语音中。这涉及到信息隐写的领域,这个话题我们有空了详细说。

关于 Android 中Https 请求如何防止中间人攻击和Charles抓包,可以看一下这一篇文章。

Android中Https请求如何防止中间人攻击和Charles抓包原理

预置证书/公钥更新问题

这样做虽然解决了抓包问题,但是也带来了另外一个问题:我们购买的证书都是有有效期的,到期前需要对证书进行更新。主要有两种方式:

提供预置证书更新接口。在当前证书快过期时,APP请求获取新的预置证书,这过渡时期,两个证书同时有效,直到安全完成证书切换。这种方式有一定的维护成本,且不易测试。 在APP中只预埋公钥,这样只要私钥不变,即使证书更新也不用更新该公钥。但是,这样不太符合周期性更新私钥的安全审计需求。一个折中的方法是,一次性预置多个公钥,只要任意一个公钥验证通过即可。考虑到我们的证书一般购买周期是3-5年,那么3个公钥,可以使用9-15年,同时,我们在此期间还可以发布新版本废弃老公钥,添加新公钥,这样可以使公钥一直更新下去。

原文链接:https://juejin.im/post/5f1072eb6fb9a07e6d70c445

未完待续。。。

后续会持续更新字节跳动等大厂面试真题,备战金九银十,为你保驾护航!喜欢的话麻烦点击一个喜欢关注一下哦~

更新

一个月前答应大伙的备战金九银十,大厂面试真题来啦!

这份资料我从春招开始,就会将各博客、论坛。网站上等优质的Android开发中高级面试题收集起来,然后全网寻找最优的解答方案。每一道面试题都是百分百的大厂面经真题+最优解答。包知识脉络 + 诸多细节。
节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。
给文章留个小赞,就可以免费领取啦~

戳我领取:Android对线暴打面试指南超硬核Android面试知识笔记3000页Android开发者架构师核心知识笔记

《960全网最全Android开发笔记》

《379页Android开发面试宝典》

包含了腾讯、百度、小米、阿里、乐视、美团、58、猎豹、360、新浪、搜狐等一线互联网公司面试被问到的题目。熟悉本文中列出的知识点会大大增加通过前两轮技术面试的几率。

如何使用它?
1.可以通过目录索引直接翻看需要的知识点,查漏补缺。
2.五角星数表示面试问到的频率,代表重要推荐指数

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

《507页Android开发相关源码解析》

只要是程序员,不管是Java还是Android,如果不去阅读源码,只看API文档,那就只是停留于皮毛,这对我们知识体系的建立和完备以及实战技术的提升都是不利的。

真正最能锻炼能力的便是直接去阅读源码,不仅限于阅读各大系统源码,还包括各种优秀的开源库。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

腾讯、字节跳动、阿里、百度等BAT大厂 2019-2020面试真题解析

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

资料已经上传在我的GitHub,或者关注后简信我【666】即可领取(无偿)。

资料收集不易,如果大家喜欢这篇文章,或者对你有帮助不妨多多点赞转发关注哦。文章会持续更新的。绝对干货!!!

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助

因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84912172
关注
  • 14
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
掉电时保存数据到EEPROM中的这些问题,你有遇到过吗?
01-20
我想在掉电时保存数据(3个字节)到EEPROM中,用BOD掉电检测,不知怎样使用。望高手指点: 1.在BOOT区设置好BODEN,BODLEVEL,后软件还要怎样设置? 2.掉电中断是否是产生复位?我的写EEPROM程序应该放在什么地方...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 抓包分析 Telnet 协议 Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制...
字节一面:https 真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世
2401_84264630的博客
05-02 860
SSL 由 Netscape 公司于1994年创建,它旨在通过Web创建安全的Internet通信。它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。SSL证书就是遵守SSL协议,由受信任的CA机构颁发的数字证书。SSL/TLS的工作原理:需要理解SSL/TLS的工作原理,我们需要掌握加密算法。对称加密:通信双方使用相同的密钥进行加密。
字节一面:https-真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世
2401_84264630的博客
05-02 28
中间人攻击是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。HTTPS 使用了 SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;有了这些条件,就可以对请求和响应进行拦截和篡改。本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器。
字节一面:https-真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世
2401_84121646的博客
04-20 576
中间人攻击是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。HTTPS 使用了 SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;有了这些条件,就可以对请求和响应进行拦截和篡改。本地请求被劫持(如DNS劫持等),所有请求均发送到中间人的服务器。
字节一面:https 真的安全吗?可以抓包吗?如何防止抓包吗?(我当场去世
2401_84121615的博客
04-20 562
SSL 由 Netscape 公司于1994年创建,它旨在通过Web创建安全的Internet通信。它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。SSL证书就是遵守SSL协议,由受信任的CA机构颁发的数字证书。SSL/TLS的工作原理:需要理解SSL/TLS的工作原理,我们需要掌握加密算法。对称加密:通信双方使用相同的密钥进行加密。
p199 - p241TCP抓包实战解析
05-15
TCP 抓包实战解析 TCP 抓包实战解析是网络协议分析的重要部分,是对网络包的捕获和分析。tcpdump 是一个常用的网络抓包工具,可以捕获网络包并将其保存到文件中。Wireshark 是一个功能强大的网络协议分析工具,可以...
MySQL.zip_MYSQL_MySQL抓包数据协议分析_mysql审计_抓包_数据审计
09-15
分析结果包可以了解服务器响应时间,判断是否存在性能瓶颈。 4. 错误和异常:抓包工具可以帮助识别网络中断、SQL错误或其他异常情况,这对于故障排查和系统稳定性分析至关重要。 5. 审计和监控:通过对MySQL通信...
wireshark test 抓包
07-27
- **保存捕获文件**:可以将抓包结果保存为".pcapng"或".pcap"格式,便于后续分析或分享。 - **加载捕获文件**:使用"File"菜单的"Open"选项,可以加载以前的捕获文件继续分析。 7. **安全与隐私**: - **注意**...
HTTPS 发送请求出现TLS握手失败2
阿信今天的代码没bug的博客
07-09 482
这样可以解决问题,同时也不会对原有的代码造成影响!同事分析说可能是对方服务器最近更新了密码套件之类引起的,因为以前也出现过这样的情况,但是我没遇到过,我只能问一下他们确认一下了, 但是他们说没改动过的,这就无解了,没办法,暂时先这样吧,问题是解决了,就是不知道引发问题的原因。由此可见,这个包是包含常用的一些加密方法的,同时也包含国密的加密套件,问过写这个代码的同事,他说当时是因为有些项目需要使用国密的签名方法,所以使用这个包的Provider替换了原有的SunEC Provider,避免了名称的冲突;
解答 | http和https的区别,谁更好用
JOYSSL230519的博客
07-05 918
综上所述,虽然HTTPS在资源消耗和兼容性方面可能稍逊于HTTP,但考虑到数据安全性和用户体验的重要性,HTTPS作为更加安全可靠的选择,值得网站管理员和开发者采用和推广。:是HTTP的安全版,使用SSL/TLS协议对数据进行加密传输,确保数据在传输过程中的安全性,有效防止中间人攻击和数据泄露。:在HTTP的基础上增加了SSL/TLS安全层,通过SSL/TLS协议对数据进行加密和解密操作,保护数据在传输过程中的安全。:连接在数据传输过程中始终保持加密状态,即使连接被截断,也不会影响数据的加密状态。
https创建证书
m0_65237356的博客
07-06 304
需要下载httpd模块:yum install httpd -y前提需要先搭建一个虚拟主机来测试证书创建的效果,以下面www.hehe.com为例,可以参考创建: 虚拟主机创建完成后,再去创建对应的目录和文件,以及写入网页的内容: 在虚拟机本地解析和Windows本地解析文件中添加这条域名解析(虚拟机在/etc/hosts ,Windows在C:\Windows\System32\drivers\etc): 192.168.54.131 www.hehe.com1.下载mod_ssl模块 2.
[面试爱问] https 的s是什么意思,有什么作用?
最新发布
人生苦短,何妨一试
07-09 96
HTTPS(全称是 HyperText Transfer Protocol Secure)是HTTP(HyperText Transfer Protocol)的安全版本,主要作用是为互联网通信提供安全保护,防止数据在传输过程中被窃听、篡改或伪造。:HTTPS 通过数字证书机制验证网站服务器的身份,确保用户访问的是正确的网站,而不是假冒的网站。HTTPS 的使用可以显著提高网络通信的安全性,保护用户的隐私和数据安全,尤其是在处理敏感信息(如个人身份信息、信用卡号、登录凭据等)时。
只有IP地址怎么实现https访问?
SeaBreeze__的博客
07-09 195
只有IP地址的情况下实现HTTPS(超文本传输安全协议)访问是可行的,虽然通常来说域名更为常见。要实现仅凭IP地址的HTTPS访问,需要通过一系列步骤确保网站的安全和可信度。这些步骤涉及确认IP地址类型
构建安全稳定的应用:SpringSecurity实用指南
zhugedali_的博客
07-04 703
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1208
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 907
然后这一步,你看,这里有个决策点
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 665
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
Wireshar抓包图文教程.doc
05-24
Wireshar抓包

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值