Android程序员面试必须要掌握的:Https加密原理、中间人攻击到底是怎么回事

最新推荐文章于 2024-04-06 09:11:54 发布
最新推荐文章于 2024-04-06 09:11:54 发布
阅读量416 收藏
点赞数
分类专栏: 程序员 文章标签: 架构 移动开发 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66145152/article/details/122409544
版权
本文详细介绍了HTTPS的工作原理,包括客户端和服务端如何建立加密信道,以及Android 7.0之后对用户CA的限制。讨论了中间人攻击的实施过程,并提供了防止此类攻击的方法,如在Android应用中内置服务器公钥证书进行验证。此外,还提到了Android面试中可能涉及的相关知识点。
摘要由CSDN通过智能技术生成

好了,接下来最重要的一步来了:根据之前协商好的加密方式,以及3个随机数,客户端、服务端各自产生出通信密钥,该密钥称为Master Secret,简称MS,也称Session Key。这个密钥虽然是各自产生的,但是产生后是一致的。

第四阶段:加密信道已经建立

客户端,服务端各自产生了通信密钥后,就用这个相同的MS对往后的所有通信信息进行加密。而这个密钥,第三方是不知道的,第三方尽管去窥探,但是他们看不懂信息,所以效果相当于,客户端&服务端在一个加密信道中通信。

从上面可以看出,https通信过程是对称与非对称加密混合的

中间人攻击与https抓包

一个针对SSL的中间人攻击过程如下:

中间人其实是做了一个偷梁换柱的动作,核心是如何欺骗客户端,从而让客户端能够放心的与中间人进行数据交互而没有任何察觉。我们来看Charles如何做到HTTPS抓包的,网上有很多fiddlers如何抓HTTPS包的教程,几步就搞定了,其中最核心的就是:

将私有CA签发的数字证书安装到手机中并且作为受信任证书保存

当私有的CA证书添加到系统信任证书后,就可以完成证书链验证过程

fiddler抓包过程,详情可见:www.cnblogs.com/afeng2010/p…<

最低0.47元/天 解锁文章
康佳Android面试题及参考答案(多张原理图)
最新发布
大模型大数据攻城狮的专栏
12-15 892
JVM 内存分布和分代回收机制是什么? JVM 内存主要分为以下几个区域。 堆(Heap)是 JVM 管理的最大的一块内存区域,主要用于存放对象实例。所有线程共享堆内存,在堆中又分为年轻代(Young Generation)和老年代(Old Generation)。年轻代又分为 Eden 区和两个 Survivor 区(一般是 S0 和 S1)。新创建的对象通常会被分配到 Eden 区,当 Eden 区满了之后,会触发 Minor GC,存活的对象会被复制到 Survivor 区,经过多次 Mi
一文读懂 HTTPSHTTPS握手与TLS证书链校验
bjxiaxueliang的CODING茶馆
06-23 2173
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
android反编译工具!开发者必备的顶级Android开发工具,大厂直通车!
Sunbuyi的博客
02-27 795
前言 2020年是转折的一年,上半年疫情原因,很多学android开发的小伙伴失业了,虽找到了一份工作,但高不成低不就,下半年金九银十有想法更换一份工作,很多需要大厂面试经验和大厂面试真题的小伙伴,想提前准备刷下题。接下来分享一份我的字节跳动、阿里巴巴、百度、小米等大厂面试经验和总结。(文末附真题解析大全) 阿里(被拒) 字节跳动(offer) 小米(offer) 手百 (offer) 面对现有的如此多跨平台方案,为何当下最火的跨平台技术是Flutter,有哪些优势呢? RN、Weex均使用JavaS.
看完这篇文章,懂了https原理
MC_yang
06-06 239
Http存在的问题 上过网的朋友都知道,网络是非常不安全的。尤其是公共场所很多免费的wifi,或许只是攻击者的一个诱饵。还有大家平时喜欢用的万能钥匙,等等。那我们平时上网可能会存在哪些风险呢? 泄密,个人隐私、账户密码等信息可能会被盗取。 篡改,收到的数据可能被第三方修改过,或被植入广告等。 假冒,访问的站点非目标服务器站点。如域名欺骗、域名劫持、钓鱼网站等。 ...
Android面试收集录 网络与加密
SFC0511的博客
03-12 213
1.创建Socket对象需要至少指定哪些信息? IP(或域名)和端口号 Socket socket=new Socket("www.baidu.com",80); 2.如何使用Socket连接服务器? 建立一个Socket对象:Socket socket=new Socket("192.168.17.100",8080); OutputStream os...
Android面试宝典》学习笔记(第七章:网络和加密
weixin_33701251的博客
02-11 85
创建Socket对象至少需要指定哪些信息?IP和端口号:Socket socket = new Socket("www.microsoft.com",80); socket连接服务器及与服务器端交互的代码:http://www.cnblogs.com/linzheng/archive/2011/01/23/1942328.html 哪些情况下socket会被关闭?1:Sock...
Android中高级进阶开发面试题冲刺合集(六)
m0_64420071的博客
10-11 931
以下主要针对往期收录的面试题进行一个分类归纳整理,方便大家统一回顾和参考。本篇是第六集~
Android 面试必备 - http 与 https 协议
徐公,微信公众号同名
07-31 7306
前言 在讲解 http 与 https 之间的区别之前,我么先来看一下一个常见的面试问题。 一次完整的 http 协议请求过程是怎样的 该图片出自 博客 Http协议的主要特点 支持客户/服务器模式 简单快速:客户向服务端请求服务时,只需传送请求方式和路径。 灵活:允许传输任意类型的数据对象。由Content-Type加以标记。 无连接:每次响应一个请求,响应完成以后就断开连接。 无状态:服务...
AES加密解密(ECB模式),Android面试真题精选
m0_64319298的博客
12-04 590
private Button decode; private TextView tvDecode; private Activity mActivity; private Context mContext; private String key = "huangxiaoguo1 《Android学习笔记总结+最新移动架构视频+大厂安卓面试真题+项目实战源码讲义》 【docs.qq.com/doc/DSkNLaERkbnFoS0ZF】 完整内容开源分享 234";//必须16位 private byte[
Android安全之Https中间人攻击漏洞
09-18
HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。 中间人攻击,Man-in-the-middle attack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。 https在理论上是可以抵御MITM,但是由于开发过程中的编码不规范,导致https可能存在MITM攻击风险,攻击者可以解密、篡改https数据。
Android进阶-HTTPS通信原理-非对称加密
Donkey的博客
05-02 1193
对称加密 简介:对称加密算法又称传统加密算法,加密和解密使用同一个密钥。 加密解密过程:明文->密钥加密->密文,密文->密钥解密->明文。 缺点:对称加密算法是不现实的,互联网中通信的双方大多是临时建立的连接,不可能提前协商好密钥,而且密钥也要进行传输,无法保证密钥本身的安全性。 非对称加密 简介: 非对称加密(asymmetric cryptography),也称为公开密钥加密(Public-key cryptography),是密码学的一种算法,它需要两个密钥,一个
Android AES的ECB和CTR加解密代码实现,这些面试官常问的开发面试题你都掌握好了吗
m0_64382868的博客
12-03 359
@param iv 加密的偏移量 @return 输出Hex十六进制再次加密的结果 **/ public static String encryptCRT(byte[] content, String key, String iv) { String encodeStr = “”; try { //产生密钥 byte[] keyBytes = key.getBytes(); SecretKeySpec secretKeySpec = new SecretKeySpec(keyBytes..
Android高端面试之谈解密
amoscxy的博客
04-29 618
本文是站在巨人肩膀上经过二次整理加工翻译完成的,消耗了翻译者大量的时间和精力,为了尊重作者的劳动成果,参考和转载请注明出处amoscxy的博客https://blog.csdn.net/amoscxy/article/details/79945513 Android高端面试之谈解密 1.1 知识介绍 1.1.1 Android基础知识 1.1.2 异步消息处理机制 1.1.3 Vie...
安卓加密/签名那些事情面试,一篇全部搞定
qq_34178710的博客
05-09 779
哈希算法:不可逆,上面的对称加密和非对称加密都有加密和解密是可逆,常见的加密算法MD5、SHA、SHA-1、SHA-256。常应用于信息摘要和数字签名等领域。对称加密:单钥密码体系,常见的加密算法DES、AES。非对称加密:公钥和私钥,常见的加密算法RSA、DSA。
Android Https解析
walk的博客
09-22 471
1、Http的缺点1)、通信报文是明文,内容容易被窃听2)、没有通信方的身份,通信方容易被伪装3)、无法验证报文的完整性,因此内容可能已经被更改2、Https可以解决上面缺点。Https就是Http+ssl。Http直接和tcp通信,Https是和ssl通信,ssl和tcp通信。ssl是独立于http的协议。结构如下:3、Https加密机制1)、共享密码加密使用同一密码加密和解密的方式叫作共享密码加密,又叫对称米要加密。问题:共享密码加密方式怎么把密钥给客户端?
https看认证和加密
Android程序员的博客
10-31 3154
HTTPS(Hyper Text Transfer Protocol over SSL) 为啥要有HTTPS 有人说我HTTP用的很好,为啥要HTPPS。还得搞服务器,还得申请证书的。是的,为啥呢? 大家都说过悄悄话吧,首先防止的要是旁边有人或者隔墙有耳。一般吐槽上司鄙视同事的话还好,但像古代谋反啥的可能要用到加密和认证技术了。认证是不让第三个人听到,加密目的是听到也不知道我们说的啥。 认证 相必...
Android 面试必备 - http 与 https 协议,10天拿到字节跳动安卓岗位offer
2401_84149607的博客
04-06 951
在技术领域内,没有任何一门课程可以让你学完后一劳永逸,再好的课程也只能是“师傅领进门,修行靠个人”。“学无止境”这句话,在任何技术领域,都不只是良好的习惯,更是程序员和工程师们不被时代淘汰、获得更好机会和发展的必要前提。如果你觉得自己学习效率低,缺乏正确的指导,可以一起学习交流!加入我们吧!群内有许多来自一线的技术大牛,也有在小厂或外包公司奋斗的码农,我们致力打造一个平等,高质量的Android交流圈子,不一定能短期就让每个人的技术突飞猛进,但从长远来说,眼光,格局,长远发展的方向才是最重要的。
Android程序员必备53知识点:单实例策略与px转dip详解
Android开发中,作为一名专业的Android程序员,了解并掌握关键的53个知识点至关重要。这些知识点涵盖了Android平台的基础架构、性能优化、用户体验、兼容性处理等多个方面,以下是对部分知识点的详细解析: 1. 单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值