本文详细介绍了HTTP的安全问题,如明文通信、身份验证缺失和数据完整性保障不足,随后解释了HTTPS如何通过加密、认证和完整性保护提高安全,包括对称加密、非对称加密和混合加密的应用。同时讨论了为何部分网站未全面采用HTTPS,以及网络安全学习路径和资源获取建议。
http 和 https 在许多网站都有用到,但是现在都是极力倡导使用 https ,究其原因就是 http
的安全性不够高,在数据传输过程中可能会遭到黑客窃取。
本篇文章会先讲解 http 缺点,然后再讲解 https 是如何解决这些问题来保证安全的。
一、http 缺点
通信使用明文(不加密),内容可能会被窃听
http (HyperText Transfer Protocol),即超文本运输协议,是实现网络通信的一种规范。
http 本身不具备加密的功能,因此其在通信过程是使用明文方式发送的。这种方式就有可能造成通信过程中信息会被破解获取。
例如:一群佩奇在路上坐着敞篷大货车,路过的人直接能看到车里都是佩奇,信息完全暴露。
不验证通信方的身份,有可能遭遇伪装
http 协议在请求和响应中不会对通信方进行确认。这就存在你访问的服务器有可能不是你真正指定的服务器,拿到返回响应的客户端可能不是一开始发起请求的客户端。
例如:母鸡孵蛋,我偷偷把鸡蛋换成鸭蛋,母鸡照样在那孵,不会有任何的怀疑。
无法证明报文完整性,有可能信息已遭篡改
http 协议无法证明通信的报文完整性,在请求和响应发出后,在传输过程中内容如果遭到篡改,也没有办法感知到。
例如:你从某个网站下载内容,无法确定你客户端下载的文件和服务器中存放的文件是否一致,有可能文件在传输过程中被篡改为其他的内容。
二、什么是 https ?
http + 加密 + 认证 + 完整性保护 = https
https 实现机密性的做法就是 “加密”,将需要传递的消息进行加密,只有拥有“钥匙”的人才能拿到原始数据。
这个钥匙我们叫做 “密钥”,加密后的叫做 “密文”。通过密钥来还原数据的过程叫 “解密”,加密解密的整个操作过程就是 “加密算法”。
加密可以分为两种形式,对称加密和非对称性加密。
对称加密
对称加密指的是加密和解密用同一个密钥。但是在通信之前,客户端和服务端是不会有这样同一把密钥的,需要其中一方将密钥发送给对方。
在整个传输过程没有任何验证操作,所以黑客也可以截取到这把密钥从而破译出加密的内容。所以纯对称加密是不安全的。
非对称加密
非对称加密指的是加密和解密用不同的密钥。它有两个密钥,一个叫 “公钥”,一个叫“私钥”。两个钥匙是不同的,公钥可以给任何人使用,但私钥必须严格保密。
公钥加密的数据只能由私钥解密,反过来,私钥加密后也只能用公钥解密。
网站秘密保管私钥,在网上随意分发公钥,如果你想登录网站,只要用公钥来加密即可,密文只能由私钥持有者才能解密,即使数据传输过程中被黑客获取到,他也无法破解。
混合加密
非对称性加密虽然安全性高,但因为它都是基于复杂的数学运算,速度就会很慢,虽然保证了安全,但通信速度太慢,实用性也会大打折扣。
混合加密就是在通信刚开始的时候使用非对称算法,来解决对称加密密钥交换安全性问题。
对方拿到密文后用私钥解密,拿到对称密钥,这样双方就实现了对称密钥的安全交换,后续就不再使用非对称加密,全都使用对称加密。
这样混合加密就实现了安全和性能兼顾,实现了可靠的机密性。
三、为什么不全部使用 https ?
通过前面的介绍,https 的安全性比 http 强太多,但是依然会有很多网站没有全部使用 https。
究其原因就是加密通信会消耗更多的CPU及内存资源,如果每次通信都进行加密,会消耗相当多的资源。
因此如果是非敏感信息可以使用 http 通信,包含个人信息等敏感数据,才利用 https 加密通信。
使用 https
还有一个问题就是需要证书,而证书必须向认证机构(CA)去购买,这也是一笔不小的费用。目前也有一些公司会提供免费版的SLL证书(德迅云安全)还能提供免费的指导安装
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
614
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
