HTTPS连接过程以及中间人攻击劫持

最新推荐文章于 2024-05-23 13:30:00 发布
最新推荐文章于 2024-05-23 13:30:00 发布
阅读量1.4w 收藏 13
点赞数 3
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbdatouerzi/article/details/71440206
版权

HTTPS连接过程

https协议就是http+ssl协议,如下图所示为其连接过程:
这里写图片描述
1.https请求
客户端向服务端发送https请求;
2.生成公钥和私钥
服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;
3.返回公钥
服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;
4.客户端验证公钥
客户端收到公钥之后,首先会验证其是否有效,如颁发机构或者过期时间等,如果发现有问题就会抛出异常,提示证书存在问题。如果没有问题,那么就生成一个随机值,作为客户端的密钥,然后用服务端的公钥加密;
5.发送客户端密钥
客户端用服务端的公钥加密密钥,然后发送给服务端。
6.服务端收取密钥,对称加密内容
服务端收到经过加密的密钥,然后用私钥将其解密,得到客户端的密钥,然后服务端把要传输的内容和客户端的密钥进行对称加密,这样除非知道密钥,否则无法知道传输的内容。
7.加密传输
服务端将经过加密的内容传输给客户端。
8.获取加密内容,解密
客户端获取加密内容后,用之前生成的密钥对其进行解密,获取到内容。

中间人劫持攻击

https也不是绝对安全的,如下图所示为中间人劫持攻击,中间人可以获取到客户端与服务器之间所有的通信内容。
这里写图片描述
中间人截取客户端发送给服务器的请求,然后伪装成客户端与服务器进行通信;将服务器返回给客户端的内容发送给客户端,伪装成服务器与客户端进行通信。
通过这样的手段,便可以获取客户端和服务器之间通信的所有内容。
使用中间人攻击手段,必须要让客户端信任中间人的证书,如果客户端不信任,则这种攻击手段也无法发挥作用。

我是黄大仙
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
burpsuite工具抓取Https数据包
weixin_44122303的博客
07-14 4004
burpsuite工具抓取Https数据包
HTTPS中间人攻击HTTPS被抓包了怎么办?
ThinPikachu的博客
03-12 1万+
目录 一、写在前面 二、什么是中间人攻击 三、https 是绝对安全的吗 四、中间人攻击的初步了解 五、中间人攻击的深入了解 六、https 是如何防止中间人攻击的 SSL-Pinning 七、浏览器是如何确保CA证书的合法性? (1)证书包含什么信息? (2)证书的合法性依据是什么? (3)浏览器如何验证证书的合法性? 八、https 可以抓包吗 九、预置证书/公钥更新问题 一、写在前面 首先,当个位读者在看到这篇文章时,我默认大家已经对...
HTTPS是如何防劫持的?
最新发布
Z4400840的博客
05-23 1090
在HTTP里,一切都是明文传输的,流量在途中可随心所欲的被控制。而在线使用的 WebApp,流量里既有通信数据,又有程序的界面和代码,劫持简直轻而易举。HTTPS虽然不是绝对安全,但运营商要想劫持也不是这么简单的事情。下面我们来聊一聊HTTPS如何做到防劫持
HTTPS (HTTP+SSL) 对称/非对称加密 中间人攻击 证书加密
qq_60021974的博客
04-25 1067
HTTPS也是应用层协议, 在HTTP基础带上加了一个安全层 HTTPS -> HTTP + SSL(加密协议) HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况(运营商劫持, 流量劫持)
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5632
一 、HTTPS连接过程中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
Burpsuite的抓包过程
永不垂头的博客
06-28 4705
学习笔记—Burpsuite的抓包过程 原理: web数据包—>burpsuite—>服务器 cycle(数据的请求和响应过程),web端用户请求,服务端数据响应称之为一个cycle。 Burpsuite抓包需要和浏览器接通,配置浏览器的代理服务器以及端口,burpsuite和goole浏览器中的服务器以及端口需要相同:127.0.0.1:8080 设置证书 下载证书:点击箭头指向的位置,然后下载到一个自己知道的位置。 下一步:点击谷歌设置键找到隐私设置和安全性,然后点击安全,然后下拉
Lanmitm, Android中间人攻击测试工具.zip
09-18
【标题】:“Lanmitm, Android中间人攻击测试工具.zip” 这个压缩包文件名为“Lanmitm, Android中间人攻击测试工具”,显然它是一个专门针对Android平台的中间人攻击(Man-in-the-Middle, MITM)测试工具。MITM攻击...
Web-安全渗透全套教程中间人.zip
05-22
然而,中间人攻击者可以通过假装成通信双方来干扰这个过程中间人攻击的实施方法多种多样,包括但不限于以下几种: 1. **DNS欺骗**:攻击者篡改DNS记录,将用户的请求重定向到他们控制的服务器。 2. **SSL证书...
Python-Nili是一个用于网络扫描中间人攻击协议逆向工程和模糊测试的工具
08-10
Python-Nili是一个强大的工具,专为网络安全专家和研究人员设计,用于执行网络扫描、中间人攻击、协议逆向工程以及模糊测试。这个工具充分利用了Python语言的灵活性和丰富的库,为网络安全提供了一站式的解决方案。 ...
https劫持代理和数据包劫持代理例子程序
05-25
攻击者会通过中间人攻击(Man-in-the-Middle, MITM)的方式,假装成合法的服务器或者客户端,获取并可能篡改通信中的数据。例如,攻击者可能会利用漏洞或者非法控制的网络设备,如路由器,来实现这一目的。一旦成功...
https_hijack_demo:HTTPS 前端劫持
06-09
此服务器会模拟中间人(Man-in-the-Middle, MITM)攻击,这种攻击方式通常发生在公共Wi-Fi网络中,攻击者作为通信的中介,可以查看甚至篡改双方的数据交换。在HTTPS前端劫持中,攻击者会在HTTP与HTTPS之间进行MITM,...
burpsuite抓包神器
12-18
burpsuite抓包神器
新手入门burp抓包神奇的使用手册,中文版
05-06
新手入门burp抓包神奇的使用手册,中文版 注意:是给新手看的新手
Burp Suite拦截HTTPS请求
fendo
01-15 3万+
一、简介 在使用Burp site对HTTPS进行拦截时他会提示 二、配置
Burp新手抓包教程(HTTPS抓包)
on_my_waylll的博客
08-13 3万+
1、工具介绍 首先呢,Burp抓包需要用到的工具,浏览器+Burp了,浏览器推荐使用火狐,没有为什么,burp最好使用专业版的,如果实在找不到,也可以使用免费的社区版,但是我也没用过社区版,不知道相对专业版,用起来怎么样。 2、抓包前的准备过程 第一步,搭建JDK环境 这一步我的上一篇文章已经说明了具体的步骤了,不过那只是我的安装步骤而已,不放心的话也可以多找找其他的教程参考下,因为当时只是为了作为笔记记录下的,因为每次重置电脑或者重装系统之类之后,电脑都...
burpsuite的抓包.
weixin_43534549的博客
03-25 1232
1.选择IE浏览器,设置Internet,设置代理服务器,然后 Burp设置: 这样在浏览器进行操作就可以抓到包: 可以直接在Raw这进行修改包的内容,最后要让包正常传递过去,点击Forward即可。 不要这个包,点击Drop,就可以丢弃。 进行重放包: 鼠标对着Raw的内容右击,最后单击Send To Repeater 之后,你会发现这样的情况: 只需要点击Repeater进入重放功能模块...
BurpSuite抓https的包/BurpSuite CA证书下载
热门推荐
阿尔卑斯的畅想博客
08-06 4万+
BurpSuite抓https的包/BurpSuite CA证书下载 Burp Suite要抓HTTPS的包的话,是需要有Burp Suite的CA证书的 为什么要证书这里就不说了,下面是具体步骤 1.首先要把Burp Suite的CA证书下载到本地 Burp Suite软件是自带了CA证书的,我总结了一下有两种方法把CA证书下载到本地 (1)网上大多数的方法,【通过...
burpsuite拦截https数据及数字证书&CA
长夜漫漫,无心睡眠
06-11 2147
解决中文乱码问题Options-->Display修改下面的选项就好。
Burp 如何抓 HTTPS 请求(PC 和 APP)
发哥微课堂
07-08 8362
0x00:前言 前段时间碰到一个测试小程序的需求,访问的是 https 的,去网上搜索了一下如何配置,都是关于 Burp 和浏览器配置的,千篇一律。搜的 Burp 抓手机 https,不是要 root 就是要 xposed 框架,后来跟同事请教讨论了一下,简单总结下,mark 一下。 0x01:PC 怎么配置 配置电脑端的浏览器,首先,你需要有 burp 的证书。获取方法:打开 burp,配...
http的中间人攻击
04-24
中间人攻击过程如下: 1. 攻击者通过某种方式,如ARP欺骗、DNS劫持等,将自己伪装成通信双方之一,使得双方都认为与真正的通信对方建立了连接。 2. 攻击者截获通信双方之间的数据包,并可以对数据包进行修改、篡改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值