字节面试官:你觉得HTTPS能防止重放攻击吗?

于 2024-07-04 22:04:54 发布
阅读量434 收藏 6
点赞数 4
分类专栏: 资料公粽号 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85405705/article/details/140191102
版权

正文

==

协议流程

====

我们先来回忆一下HTTPS的通信流程,HTTPS协议 = HTTP协议 + SSL/TLS协议,摘取一下网上一些八股文的回答(以RSA密钥交换的为例)!

  • (1)客户端生成一个随机数client_random,TLS版本号,发送到服务端

  • (2)服务端发送自己的随机数server_random,服务器使用的证书,发送到客户端

  • (3)客户端利用CA公钥对证书进行验证,取出服务器公钥

  • (4)客户端生成随机数pre_master_secret,利用服务器公钥进行加密,传送到服务端

  • (5)服务端利用服务器私钥进行解密取出pre_master_secret

  • (6)服务端和客户端此时利用随机数client_random,server_random,pre_master_secret算出对称密钥(master_secret),利用对称密钥进行对称加密通信

_画外音:_是不是贼熟悉,有背过网络八股文的,一看就懂!

关键问题就在步骤(6),怎么进行加密的?很多文章都没有说明,甚至有的人以为,拿client_random+server_random+pre_master_secret直接拼成一个字符串,然后就是对称加密密钥,客户端和服务端拿这个密钥对数据进行加密通信!!

对此,我只能说:“Too young too simple!离谱啊!!”

那正确的过程是怎么样的呢,我们继续往下看!

协议分析

====

我先给本文提到的英文单词,给上我的中文翻译,以防大家混淆:

  • client_random 客户端随机数

  • server_random 服务端随机数

  • pre_master_secret 预备主密钥

  • master_secret 主密钥

  • key_block 密钥块(有的文章把这个东西称为会话密钥)

先大致有个印象,继续往下阅读

现在我们已经有三个参数client_random,pre_master_secret,server_random,服务端和客户端分别会根据这三个参数,推导出master_secret,一旦master_secret被推导出来,会立刻删除pre_master_secret。(摘自rfc2246,section8.1

当master_secret计算出以后,立刻计算key_block(摘自rfc2246,section6.3),这个密钥块,有的文章里又说他是会话密钥!计算公式如下,

key_block = PRF(master_secret,

“key expansion”,

server_random +

client_random)

如公式所示,PRF是一个Hash算法,如SHA256这些,具体用哪一个取决于TLS协议的版本!我们得到key_block后,可以基于到key_block继续推导出6个密钥值,分别是

  • client_write_MAC_key 客户端消息认证码密钥

  • server_write_MAC_key 服务端消息认证码密钥

  • client_write_key 客户端对称加密密钥

  • server_write_key 服务端对称加密密钥

  • client_write_IV 客户端初始化向量

  • server_write_IV 服务端初始化向量

整个过程用一张图来说明,注意了这六把密钥是根据key_block推导而出,也就是意味着这六把密钥是服务端和客户端共同持有的!

面试官:你觉得HTTPS能防止重放攻击吗?

大家一定也发现了,你的密钥前都带有client或者server前缀,这代表密钥是服务端使用还是客户端使用!例如,客户端用client_write_key进行数据加密,发送数据,服务端收到消息后利用client_write_key进行解密。而后服务端使用server_write_key进行数据加密回复信息,客户端收到消息后用server_write_key解密服务端发来的信息!

OK,我们继续往下看!

现在我们已经有了6把密钥了,已经需要发送的消息data,那么加密流程具体怎么样的呢?

TLS一共有三种加密模式,流加密模式、分组模式、 AEAD 模式,我以流加密模式来进行说明,如下图所示

面试官:你觉得HTTPS能防止重放攻击吗?

最后

总而言之,面试官问来问去,问的那些Redis知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习

还有更多学习笔记面试资料也分享如下:

都是“Redis惹的祸”,害我差点挂在美团三面,真是“虚惊一场”

知识点也就这么多吧,复习的不够到位,知识点掌握不够熟练,所以面试才会卡壳。将这些Redis面试知识解析以及我整理的一些学习笔记分享出来给大家参考学习

还有更多学习笔记面试资料也分享如下:

[外链图片转存中…(img-1yCyn3Ft-1720101882343)]

2401_85405705
关注
专栏目录
再探https重放攻击
junyang2012的博客
09-14 2562
  最近浏览到一篇关于https是如何防范重放攻击的文章,感兴趣的可以详细看下,文章中详细解释了其原理,但读完给我带来了一些疑惑——我们能否完全依赖https来防重放,进一步搜索,发现关于这个问题的说法不是很明确一致,于是决定在再探究下,便有了这篇文章。   本文将聚焦“我们能否完全依赖https来防重放”这个问题,尽可能做出准确的分析,同时也算提供验证资料准确性的一种参考。另外为了说明问题,会对相关概念、流程作以简述。 一、概念简介 1.1 https:是在http基础之上,引入TLS(安全传输层协议)/
面试官:你觉得HTTPS防止重放攻击吗?
孤独烟
09-03 455
引言老规矩,先来一段面试情景再现~~某日,一求职者来到阿雄公司(一阵项目介绍瞎扯……)阿雄:"网络这块学的如何?"求职者:"只懂一点开发中常用的HTTPSHTTP...
觉得HTTPS防止重放攻击吗?
ZERO
09-14 437
转载自:https://www.toutiao.com/a7005058608551477791/?log_from=b02638f28c684_1631533612740 正文 协议流程 我们先来回忆一下HTTPS的通信流程,HTTPS协议 = HTTP协议 + SSL/TLS协议,摘取一下网上一些八股文的回答(以RSA密钥交换的为例)! (1)客户端生成一个随机数client_random,TLS版本号,发送到服务端 (2)服务端发送自己的随机数server_random,服务器使用的证书,发送到客户
https漏洞:https可以随意修改请求的封包数据,提交还能有效?为什么https使用监听的原数据 重新发送会无效?
chenhao0568的专栏
01-31 1129
HTTPS(超文本传输安全协议)是一种用于在互联网上安全传输数据的协议。它在传统的HTTP上增加了SSL/TLS协议层,以加密客户端和服务器之间的通信。当你提到“监听原数据并重新发送会无效”的情况,实际上是在描述一种网络攻击场景,即重放攻击。:在HTTPS中,所有传输的数据都是加密的。攻击者即使能够监听到这些数据,也无法轻易地解密它们以理解其内容或以有效的方式重新发送。:HTTPS使用基于会话的密钥,这意味着即使攻击者有能力解密一个会话中的数据,这些密钥在每个会话中都是唯一的,并且会定期更换。
面试官:你觉得HTTPS防止重放攻击吗?
代码界的扛把子
05-03 101
],HTTPS协议是能够拦截的!假设,客户端和服务端相互通信了4次,client_send = server_recv=3(从0开始,所以是3),服务端检验完第4次消息后,server_recv加1,此时server_recv=4。现在我们已经有三个参数client_random,pre_master_secret,server_random,服务端和客户端分别会根据这三个参数,推导出master_secret,一旦master_secret被推导出来,会立刻删除pre_master_secret。
2022最强面试官问:Redis夺命52连问。你发抖吗?
m0_67698950的博客
06-21 507
Redis图标Redis是一种基于键值对(key-value)的NoSQL数据库。比一般键值对数据库强大的地方,Redis中的value支持string(字符串)、hash(哈希)、 list(列表)、set(集合)、zset(有序集合)、Bitmaps(位图)、 HyperLogLog、GEO(地理信息定位)等多种数据结构,因此 Redis可以满足很多的应用场景。而且因为Redis会将所有数据都存放在内存中,所以它的读写性能非常出色。不仅如此,Redis还可以将内存的数据利用快照和日志的形式保存到硬盘上,
面试 Redis 没底?这 40 道面试题让你不再慌(附答案)
m0_67322837的博客
04-12 1386
大厂面试!我和面试官之间关于Redis的一场对弈! 今天,我不自量力的面试了某大厂的 Java 开发岗位,迎面走来一位风尘仆仆的中年男子,手里拿着屏幕还亮着的 Mac。他冲着我礼貌的笑了笑,然后说了句“不好意思,让你久等了”,然后示意我坐下,说:“我们开始吧,看了你的简历,觉得你对 Redis 应该掌握的不错,我们今天就来讨论下 Redis……”。我想:“来就来,兵来将挡水来土掩”。 Redis 是什么 面试官:你先来说下 Redis 是什么吧! 我:(这不就是总结下 Redis 的定义和特点嘛)Re
一篇经典的 Redis 面试资料「处女座笔记」「吐血推荐」...
Java Punk
09-02 1043
一篇经典的 Redis 面试资料,很清晰,很全面,很详细,很值得收藏,应对大厂面试,这一篇就足足足足足够了
[校招-春招]-字节跳动-客户端开发工程师-一面-总结
Laoxyang的博客
02-23 2189
字节面试1、项目问题1)文本阅读器器中用到了多线程,是用来解决什么问题的2)多线程读取大文件速度快还是单线程读取速度快?3)javaweb中的session有什么作用?2、计网和操作系统计算机网络1)httphttps的区别?2)https中SSL是怎么样的?3)https中实现过程?操作系统1)操作系统为什么要引入虚拟地址?2)得到一个虚拟地址,访存的过程?3、算法题1.斐波那契数列1)非递归,动态规划的思想总结 1、项目问题 1)文本阅读器器中用到了多线程,是用来解决什么问题的 解决自动阅读问题,开
HTTPS入门及如何防重放攻击
为智慧地球添砖加瓦
11-03 9410
HTTPS入门HTTPS即在HTTP的基础上增加了SSL或TSL协议,其运行于会话层和表示层。SSL简介SSL(Secure Socket Layer安全套接层)以及其继承者TSL(Transport Layer Security 传输层安全)是为了网络通信安全 提供安全及数据完整性的一种安全协议。 SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的
字节面试官:你觉得HTTPS防止重放攻击吗?,牛客java面试宝典pdf吾爱破解
最新发布
2401_84006757的博客
04-13 523
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。很多人担心学了容易忘,这里教你一个方法,那就是重复学习。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
重放攻击(Replay Attacks)(高风险)
@小张小张的博客
10-12 8528
认证重放攻击(高风险) 风险级别: 高风险 风险描述: 攻击者发送一个目标主机已经接收的数据包,特别是在认证过程中,用于认证用户身份时; 风险分析: 攻击者可以使用重放攻击方式伪装成用户,冒充用户身份进行一系列操作; 重放攻击(Replay Attacks): 又称重播攻击、回放攻击;是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的; 抓包工具拦截并克隆你的请求,用克隆后的请求访问你的后台; 抓包工具可以克隆请求的所有内容(url,data,cookie,session,header等等)
浏览器关闭https校验_HTTPS如何防止重放攻击
weixin_42668301的博客
01-28 1365
关注后你就是我的人了HTTPS是否实现了Diffie–Hellman秘钥交互算法来防重放攻击?看了很多回答HTTPS原理的文章,都说HTTPS主要是通过RSA+AES来加密数据的,而这个AES秘钥是浏览器端随机生成的,是否是真的这样,如果是如何防止重复攻击?还是通过Diffie–Hellman来交换秘钥的?这个问题描述让人无法看懂,让我来帮助提问者理理思路。TLS握手协商阶段浏览器发送Client...
TLS1.2 RFC5246详解
SkyChaserYu的博客
04-28 4434
注:本文省略了部分开发协议才涉及到的内容,如字段类型的定义以及字段长度的运算,主要聚焦理解tls协议的运作方式,用于问题定位 tls协议包含2层协议:TLS Record 协议和TLS Handshake协议,底层采用可靠传输协议(如TCP),TLS Record协议通过如下方式实现数据的安全传输: 链路是私有的,使用对称加密方式对应用数据进行加密。对每条链路来说,对称加密使用的key是各自独...
TLS三个随机数和三个秘钥
包磊磊的博客
05-21 3388
三个随机数:Client random, Server random, Premaster secret 三个秘钥:公钥(public key),私钥(private key),对话密钥(session key)
关于SSL握手过程有几个随机数的疑惑(抓包的协议是TLSv1.2)
weixin_43975276的博客
06-03 2120
网上面的说法不一样,书本上面的也有所不同,自己抓包也和书本不一样。 出自:计算机网络 自顶向下 出自:计算机网络 上面是前三次握手???? 随机数到底有没有传呢?书本上面没有提及,但是从抓包来看是有的,在两次hello报文里面。 计算机网络里面的在第三次握手的时候用服务器端的公钥加密随机数,然后服务器端拿到之后生成相应的主密钥。 自顶向下里面的在第三次握手传递的是主密钥。 都没有提及两次hello的随机数,不知道是没提及还是他们认为没有。 最大的可能是版本不同,但是我也不知道怎么可以使用老版本的S
HTTP & HTTPS & 重放攻击
shawdow_bug的博客
09-03 780
HTTP 不安全? HTTP报文在客户端与服务器之间传输的形式是明文,在传输的过程中,HTTP报文会经过很多网络节点,首先是局域网的路由器(例如家庭的路由器),然后是运营商的交换机或路由器,接着到目标服务器所在局域网的路由器,最终到达目标服务器,被它接收。 之所以说HTTP不安全,是因为传输的数据是明文,在客户端与服务器之间传输的过程中,也就是明文经过中间的网络节点时,存在被嗅探的风险。 攻击方式: (1)在运营商的交换机或路由器上嗅探流量。(不知道有没有发生过这种事=.=) (2)WiFi劫持,
【RHCE】web服务器及http配置(下)
故余虽愚,卒获有所闻
10-31 879
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。CGI是Web服务器和一个独立的进程之间的协议,它会把HTTP请求`Request`的`Header`头设置成进程的环境变量,HTTP请求的`Body`正文设置成进程的标准输入,进程的标准输出设置为HTTP响应`Response`,包含`Header`头和`Body`正文。IETF 就把SSL 标准化。
2019年字节跳动面试题:HashMap与Integer解析
"这篇2019年的面试题总结聚焦于字节跳动公司的面试问题,涵盖了Java编程语言中的核心概念,包括HashMap的扩容机制、Integer与int的区别以及Java线程的状态转换。" HashMap在Java中是常用的数据结构,其在容量不足时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值