那么今天,我们就来探究一下,为什么说它们两者之间并不冲突,以及市场上那些主流的抓包工具,到底是如何实现对https协议进行抓包的。
注意,本篇文章主要探讨的是对https协议抓包的实现原理,如果你想学习的是抓包工具的使用方法,可以参考上一篇文章 在Android手机上对https请求进行抓包 。
另外,想要理解对https协议抓包的实现原理,你还必须非常熟悉https的工作机制才行,我在写一篇最好懂的https讲解 这篇文章中对https的工作机制
进行了详细的介绍,还不熟悉https的朋友可以先去阅读这篇文章。
好了,阅读到了这里,说明你对https已经非常熟悉了,那么你一定知道,https协议是结合了非对称加密和对称加密一起工作,从而保证数据传输的安全性的。
非对称加密用于确保客户端可以安全地获取到服务器的真实公钥。对称加密用于确保客户端和服务器之间的数据传输不会被任何人监听和解密,因为对称加密使用的密钥只有客户端和服务器这两者知道,其他任何人在不知道密钥的情况下都无法对传输数据进行解密。
那么看似固若金汤的https协议,抓包工具是如何在这其中找到一个“破绽”,从而实现对https请求进行抓包的呢?
其实严格来说,这也算不上是一个破绽,而是用户的一个主动行为。还记得我们在上篇文章中讲到的,如果想要对https请求进行抓包,必须在手机上安装一个由Fiddler提供的证书吗?这个证书就是整