HTTPS是怎么防止劫持的

最新推荐文章于 2024-05-23 13:30:00 发布
最新推荐文章于 2024-05-23 13:30:00 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Java 文章标签: 网络编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLQ0621/article/details/112172349
版权

HTTP是明文传输的,如果想密文传输就需要HTTPS(HTTP+SSL),三次握手之后再建立SSL连接。

那么HTTPS是怎么防止劫持的?

在HTTP请求时,常见的劫持有DNS劫持和传输内容被劫持,我们从这两个劫持来看看HTTPS是怎么解决的。

怎么防止DNS劫持

什么是DNS劫持?
比如用户想访问知乎,在浏览器输入如下域名https:// www.zhihu.com要打开这个网站,首先要解析域名www.zhihu.com,结果这个域名被黑客劫持到他的私人服务器1.2.3.4,结果用户的浏览器和黑客的私人服务器1.2.3.4建立SSL连接,黑客的服务器1.2.3.4再和www.zhihu.com建立SSL连接,用户收发的数据都通过黑客的服务器1.2.3.4中转,也就是黑客的服务器1.2.3.4相当于一个https代理服务器,结果用户收发的所有数据,黑客都能看到。

使用HTTPS时能被这样劫持吗?
首先如果黑客要跟用户的浏览器建立SSL连接,那么黑客需要有一个CA证书,而通常系统内置根证书都是大型机构的根证书,几乎无法伪造。如果黑客要假冒其他机构颁发证书,因为没有颁发机构的秘钥,那么这个证书的指纹一定没办法对上,浏览器都会提示证书不安全。
如果非要黑客做一个只能是自签名证书,并且用户自己主动导入该证书。记住,不要随便安装受信任证书,否则HTTPS也帮不了你。

还有人就说了,我可以让用户回落到HTTP协议啊,中间人用HTTPS跟服务器通信,然后用HTTP跟客户端通信——要知道大部分用户在地址栏输入URL时,并没有指定协议的习惯,都是打www开头而不是打https://www开头,能用HTTPS全是Web+Server上80端口301+Location到HTTPS的功劳。
看起来似乎中间人充当了一个替换页面里HTTPS资源到HTTP的反向代理,好像可行性还是很高。
但是只要利用HSTS(HTTP+Strict+Transport+Security,RFC6797)就可以解决这个问题。通过在HTTP+Header中加入Strict-Transport-Security的声明,告诉浏览器在一定时间内必须通过HTTPS协议访问本域名下的资源。
这种情况下,只要用户曾经在安全网络环境下访问过一次某站,中间人在指定时间内也无法让其回落到HTTP。


怎么防止传输内容被劫持

使用HTTPS时能被这样劫持吗?
黑客作为一个中间人,首先没有服务器私钥,所以不能解密客户端发送的内容;其次黑客也没有客户端自己生成的随机密钥串,所以也不能解密客户端发过去的内容的。


总结

1.CA证书保证了公钥的可靠性。
2.服务端私钥+公钥的非对称加解密保证了客户端生成的随机数传输安全,不会被中间人拦截获取。But,非对称加密对服务端开销大。
3.所以利用随机数的对称加密保证后续通讯的安全性,也可以降低服务器的解密开销。
4.HTTPS只针对传输内容进行加密,保证的是客户端和网站之间的信息就算被拦截也无法破解。如果不是全站HTTPS,仅仅只是在登录页采用HTTPS,那些HTTP连接的页面同样是危险的,从HTTP->HTTPS跳转依然可能被劫持。


SSL握手大概流程

1.浏览器将自己支持的一套加密规则发送给网站。
2.网站部署了一组SSL秘钥,分私钥和秘钥。
3.网站从浏览器的加密规则中选出一组加密算法与HASH算法,并将自己的身份信息(公钥)以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
4.获得网站证书之后浏览器要做以下工作:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密。这个加密过程是非对称加密,即公钥加密,私钥解密。私钥只在网站服务器上存储,其他人无法获得这个私钥,也就无法解密。可理解为公钥是锁,私钥是钥匙,客户端将随机数用公钥锁上,经过网络传输到服务器,整个过程就算有人拦截了信息,由于没有私钥解锁,也就无法解密。
过程如下图:
在这里插入图片描述CA证书校验

5.将生成的所有信息发送给网站。

6.网站接收浏览器发来的数据之后,使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。

7.使用密码加密一段握手消息,发送给浏览器。

8.浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证,目的是为了保证双方都获得了一致的密码,并且可以正常的加密解密数据,为后续真正数据的传输做一次测试。

备注:非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键,因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥,公钥只能用于加密数据,因此可以随意传输,而网站的私钥用于对数据进行解密,所以网站都会非常小心的保管自己的私钥,防止泄漏。


pbxs
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https防流量劫持
煮酒闲谈
01-24 1152
ox10 前言 互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险。 目前出现的劫持现象更是五花八门:搜索引擎劫持、网络劫持、浏览器劫持、路由器劫持等常见的网站劫持,面对多种方式的网站劫持,我们应该如何应对? 0x11 限制网站权限 部分网站
黑色浏览器 防止网页劫持
08-13
采用谷歌最新核心编写,能有效防止网页劫持等流氓软件的篡改行为。
HTTPS是如何防劫持的?
最新发布
Z4400840的博客
05-23 1072
在HTTP里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。HTTPS虽然不是绝对安全,但运营商要想劫持也不是这么简单的事情。下面我们来聊一聊HTTPS如何做到防劫持
流量劫持频发,用https解决
cekaogai5015的博客
08-07 188
  相信很多人都遇见过域名没输错,结果却跑到了一个钓鱼网站上这样的情况,用户数据泄露、流量劫持、页面篡改等安全事件频发。  面对这样的情况,使用IIS7网站监控,把域名输入进行检查,看是不是有被劫持和DNS污染的情况发现,用此方法进行实时检查是有必要的。  继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、...
https 能否避免流量劫持
SSL加密技术
03-30 336
http,一个使用了 20 多年的老协议。如今,网页技术有了长足的进步和发展,http 也开始逐渐被 https 取代,在 http 中,很容易受到网络攻击,特别是流量劫持,对广大网民造成了严重的损失。把 http 换成 https 会安全吗?还会不会发生流量劫持的情况? https 能否避免流量劫持? 可以!但是,必须使用可信SSL证书。 与简单的 http 代理不同的是,https 服务需要由权威的CA颁发的SSL证书才能生效。自签式证书浏览器不认可,并且会给出严重的警告提示。而且遇到“这个网站的
如何应用HTTPDNS及全站HTTPS协议避免域名被劫持
weixin_33728268的博客
06-17 278
域名对于公司重要吗?毋庸置疑的当然是很重要,域名就相当于一个门牌号,如果您去拜访别人,不知道门牌,是不是很耽误事呢?那么域名被劫持的可能性有哪几种呢?1.运营商劫持,运营商在基础网络层面的对域名的劫持,主要是一个单方的县级或者市级,不会是针对所有地区。运营商为了减少跨ISP的流量结算,会在本网内缓存ICP的内容,广告联盟等甚至也会劫持域名替换广告,劫持域名解析是安全上的一大隐...
Https能避免流量劫持吗?
weixin_33991418的博客
06-19 469
答案是能!但前提是必须用受信任的SSL证书。 不同于简单的Http代理,HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了伪证书,HTTPS流量因此遭到劫持。 如果重要的账户网站遇到这种情况,无论如何都不该点击继续。 这里所说的权威CA机构是指已经通过Web...
防止Edge劫持IE浏览器
03-08
退出杀毒软件,右键管理员权限执行《防止edge劫持ie浏览器.exe》,可多执行几次,资源管理器会自动重启, C:\Windows\System32查看ieframe.dll修改日期是否是2023年。如未自动替换成功, 用压缩包中ieframe.dll替换C...
如何防止路由器被劫持 预防路由器劫持的八大方法介绍
10-01
近段时间不断有媒体曝光路由器容易...最近又有网友曝WIFI存安全漏洞,一旦被蹭网,路由器被劫持,那么为了避免用户安全风险,笔者教大家如何防止路由器被劫持,其中只要做好安全防护,就可以有效的避免路由器遭受劫持
dll劫持工具.zip
10-05
DLL劫持(DLL Hijacking)是一种在Windows操作系统中利用动态链接库加载机制的安全漏洞进行攻击的技术。...通过使用像"anhkgg-tools-master"这样的工具,我们可以更有效地检测和防止DLL劫持攻击,提升系统的安全性。
version.dll 劫持源代码
01-08
**version.dll 劫持源代码详解** 在Windows操作系统中,`version.dll` 是一个系统级的动态链接库,主要用于处理应用程序的版本信息。它包含了读取和验证PE(Portable Executable)文件版本资源的函数。然而,有些...
论文研究-针对HTTPS的Web前端劫持及防御研究 .pdf
08-19
针对HTTPS的Web前端劫持及防御研究,赵国锋,陈勇,本文论述了HTTPS协议通信流程,详细分析了基于伪造证书与中间人会话劫持的基本方法及原理,指出了常用劫持方法通过后端来操控最原�
https 是否真的安全,https攻击该如何防护,https可以被抓包吗?如何防止呢?
a38417的博客
11-26 1394
相信大多程序员已经对这种算法很熟悉了:我们提交代码到github的时候,就可以使用SSH key:在本地生成私钥和公钥,私钥放在本地.ssh目录中,公钥放在github网站上,这样每次提交代码,不用麻烦的输入用户名和密码了,github会根据网站上存储的公钥来识别我们的身份。HTTPS 使用了 SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;
一文看懂https如何保证数据传输的安全性的
qq_44005305的博客
02-25 247
大家都知道,在客户端与服务器数据传输的过程中,http协议的传输是不安全的,也就是一般情况下http是明文传输的。但https协议的数据传输是安全的,也就是说https数据的传输是经过加密。在客户端与服务器这两个完全没有见过面的陌生人交流中,https是如何保证数据传输的安全性的呢?下面我将带大家一步步了解https是如何加密才得以保证数据传输的安全性的。我们先把客户端称为小客,服务器称为小服。
http网站怎么配置https劫持
sevn77777的博客
11-23 1029
HTTPS相比HTTP,在请求开始之前增加了握手的环节,在进行SSL握手时,客户端浏览器会对服务器的身份进行验证,这是通过SSL证书来实现的,SSL证书是由第三方权威机构CA颁发,通俗一点来说就是网站的“身份证”,浏览器需要对“身份证”进行验证来确认服务器的身份,确认证书是否属于目标网站、确认证书是否有受信任机构所颁发等。在握手环节的最后,客户端和服务器还会协商出一个用于加密和解密的通讯密钥。 如何解决网站http被劫持的问题 获取HTTPS证书: ①、搜索“蜗牛证书”,或者直接打开链接:h.
HTTPS劫持
weixin_45363315的博客
07-15 3189
HTTPS劫持 https劫持分为代理劫持和透明劫持。 一、代理劫持https 这种https代理劫持在我们平时是用的很多的,比如Burp suite和Fiddler启动代理服务器,浏览器配置一个代理就可以抓包进行调试、漏洞测试了。 1.1必备知识 1.1.1 SNI 其中SNI包含了在ClientHello中,在TLS(SSL的升级版)开始支持设置 Server Name(网站的域名)。因为现在一个https服务器可能存在多个域名,而在 TLS 握手信息中并没有携带客户端要访问的目标地址,则无法确定该和那
关于启用 HTTPS 的一些经验分享
王王没想到博客
03-23 1499
随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPSHTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。本文分享一些启用 HTTPS 过程中的经验,重点是如何与一些新出的安全规范配合使用。至于 HTTPS 的部署及优化,之前写过很多,本文不重复了。 理解 Mixed Con
HTTPS原理-使用-请求拦截-防止拦截-动态调试HTTP请求
VictorZhang
04-10 9375
HTTPS (全称:HyperText Transfer Protocol over Secure Socket Layer) Google 很早就使用了HTTPS,主要是为了保证用户的数据安全。 Google、Baidu、Facebook 、字节跳动这样的互联网巨头,都在广泛使用HTTPS搭建网站、接口、服务等, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是程序员学习http...
redirect重定向中可以带参数吗_挖洞经验 | 利用开放重定向漏洞劫持GitHub Gist账户...
weixin_39602976的博客
11-29 481
近期,我针对GitHub做了一些安全测试,特别对其不同的CSRF token进行了绕过测试,在此过程中,我顺带研究了urls生成的各种方法函数,希望从中发现用来创建token的相关方法,最后发现了其中的一个开放重定向漏洞,利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。漏洞发现在我测试的urls生成方法中,有一个名为url_for的方法,它通常被用来生成...
ios如何防止域名劫持
06-08
iOS 应用可以通过以下方式防止域名劫持: 1. 使用 HTTPS 协议: HTTPS 协议具有加密传输和验证服务器身份的功能,可以有效地防止中间人攻击和域名劫持。因此,在 iOS 应用中,尽可能地使用 HTTPS 协议访问服务器,可以提高应用的安全性。 2. 使用 DNSSEC 协议: DNSSEC 协议可以对 DNS 数据进行数字签名,防止 DNS 劫持和欺骗。在 iOS 应用中,可以使用支持 DNSSEC 协议的 DNS 服务器,以提高应用的安全性。 3. 校验 SSL 证书: SSL 证书用于验证服务器的身份,防止中间人攻击和域名劫持。在 iOS 应用中,可以通过校验 SSL 证书来确保连接的安全性。建议使用 SSL Pinning 技术,即将服务器的 SSL 证书固定在应用中,防止证书被替换。 4. 使用自定义的 DNS 解析库: iOS 应用可以使用自定义的 DNS 解析库,例如 dnsjava,以避免使用被劫持的 DNS 服务器。自定义的 DNS 解析库可以实现域名的本地解析,避免受到 DNS 劫持的影响。 总之,为了防止域名劫持,iOS 应用需要采取多种措施,包括使用 HTTPS 协议、DNSSEC 协议、校验 SSL 证书以及使用自定义的 DNS 解析库等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值