为什么如此安全的https协议却仍然可以被抓包呢?,handler机制

最新推荐文章于 2024-07-20 11:00:00 发布
最新推荐文章于 2024-07-20 11:00:00 发布
阅读量472 收藏
点赞数
分类专栏: 程序员 文章标签: 架构 移动开发 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66264856/article/details/122602568
版权
本文探讨HTTPS协议抓包的实现原理,解释为何即使使用安全的HTTPS,仍可通过抓包工具进行抓包。内容涉及客户端如何获取服务器真实公钥,以及如何与服务器商定对称加密密钥,同时阐述了抓包工具如Fiddler如何在其中发挥作用,通过安装证书实现对HTTPS请求的抓包。
摘要由CSDN通过智能技术生成

那么今天,我们就来探究一下,为什么说它们两者之间并不冲突,以及市场上那些主流的抓包工具,到底是如何实现对https协议进行抓包的。

注意,本篇文章主要探讨的是对https协议抓包的实现原理,如果你想学习的是抓包工具的使用方法,可以参考上一篇文章 在Android手机上对https请求进行抓包

另外,想要理解对https协议抓包的实现原理,你还必须非常熟悉https的工作机制才行,我在写一篇最好懂的https讲解 这篇文章中对https的工作机制
进行了详细的介绍,还不熟悉https的朋友可以先去阅读这篇文章。

好了,阅读到了这里,说明你对https已经非常熟悉了,那么你一定知道,https协议是结合了非对称加密和对称加密一起工作,从而保证数据传输的安全性的。

非对称加密用于确保客户端可以安全地获取到服务器的真实公钥。对称加密用于确保客户端和服务器之间的数据传输不会被任何人监听和解密,因为对称加密使用的密钥只有客户端和服务器这两者知道,其他任何人在不知道密钥的情况下都无法对传输数据进行解密。

那么看似固若金汤的https协议,抓包工具是如何在这其中找到一个“破绽”,从而实现对https请求进行抓包的呢?

其实严格来说,这也算不上是一个破绽,而是用户的一个主动行为。还记得我们在上篇文章中讲到的,如果想要对https请求进行抓包,必须在手机上安装一个由Fiddler提供的证书吗?这个证书就是整

最低0.47元/天 解锁文章
m0_66264856
关注
专栏目录
【漏洞挖掘】——53、 WebSocket安全概览
Fly_鹏程万里
06-07 323
在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Proxy右侧的"WebSockets History"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究,这让我产生了需要深入研究一下的想法。
深入理解nginx的https alpn机制
一个致力于开源代码学习、分析和交流的博客
02-29 1107
本文从ssl上下文的初始化、ssl连接的初始化、alpn回调处理,到最后ssl握手完成并启用http2协议的整个流程说明了nginx alpn的实现过程。
HTTPS 抓包
KHOST的博客
08-05 8066
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTTPS 协议之所以是安全
为什么如此安全https协议仍然可以被抓包呢?
郭霖的专栏
06-07 1万+
上一篇原创写了一篇关于抓包的文章,教大家如何在Android手机上对https协议的请求进行抓包https协议是一种非常安全的数据传输协议,它在网络上传输的所有内容都是经过加密的。这可能也让一些小伙伴非常不解,如此安全https协议为什么也能被抓包?这样不就说明这个协议也并不安全吗? 其实并不是如此。https协议确实是非常安全的,但同时,用https协议传输的数据也确实是可以被抓包的,它们两者之间并不冲突。 那么今天,我们就来探究一下,为什么说它们两者之间并不冲突,以及市场上那些主流的抓包工具
面试管:用了HTTPS安全了吗?HTTPS 抓包吗?,2024年最新写得太好了
最新发布
qq_44005305的博客
07-20 608
!!!!!
浅谈HTTPS抓包原理,为什么Charles能够抓取HTTPS报文?
软件测试技术交流分享
07-18 452
Charles作用其实相当于拦截器,当客户端和服务器通信时,Charles其实先接收到服务器的证书,但是它自己生成一个证书发送给客户端(不管是Web端或App应用),也就是说它不仅仅是拦截,甚至还可以修改。
fiddler Androidhttps抓包全攻略
weixin_33767813的博客
12-08 1172
fiddler Androidhttps抓包全攻略      fiddler的http、https抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行、支付宝、陌陌这样的APP是抓不到包的,需要一些特殊的配置,本文把fiddler Androidhttps抓包的详细配置都罗列出来,供大家参考。 一、普通https抓包设置 先对Fiddler进行设置: ...
HTTPS安全了?HTTPS 抓包吗?
Java技术栈,分享最主流的Java技术
07-22 646
Java技术栈www.javastack.cn关注阅读更多优质文章本文来自leapMie 的博客:https://blog.leapmie.com/archives/418/随着 HT...
Android平台HTTPS抓包解决方案及问题分析
2301_79655511的博客
04-23 348
今天关于面试的分享就到这里,还是那句话,有些东西你不仅要懂,而且要能够很好地表达出来,能够让面试官认可你的理解,例如Handler机制,这个是面试必问之题。有些晦涩的点,或许它只活在面试当中,实际工作当中你压根不用到它,但是你要知道它是什么东西。最后在这里小编分享一份自己收录整理上述技术体系图相关的几十套腾讯、头条、阿里、美团等公司20年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。还有。
深入理解nginx的https sni机制
一个致力于开源代码学习、分析和交流的博客
02-29 1807
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
HTTP/HTTPS协议分析工具(Http Analyzer)7.5.3.455 汉化特别版 [强大的抓包软件]
06-25
HTTP/HTTPS协议分析工具(Http Analyzer)7.5.3.455 汉化特别版 HTTP Analyzer 分两部份,可以集成在IE浏览器中抓包,也可以单独的安装应用程序的包,非常实用。 压缩包内有注册机,大家根据需要选择相应的产品获取注册码。 这是一款实时分析 HTTP/HTTPS 数据流的工具。它可以实时捕捉HTTP/HTTPS 协议数据,可以显示许多信息(包括:文件头、内容、Cookie、查询字符窜、提交的数据、重定向的url地址),可以提供缓冲区信息、清理对话内容、HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。 Http Analyzer是一个HTTP/HTTPS协议分析工具,用此工具可以非常快速的分析出绝大多数视频博客的视频地址。尽管有一些网站提供了诸如 YouTube ,Google Video 等视频网站的php解码程序,不过那些php程序并不是通用的。当博客视频网站对视频地址加密算法做些变动时,php程序又需要大规模改动才能对应解码。 使用类似Http Analyzer协议分析工具就不同了,所有的博客视频都是http方式提供的,最终的http路径是肯定要明文出现的,所以获取此路径是可能的。 HTTP/HTTPS协议分析工具(Http Analyzer)使用方法 第一步:设置好Http Analyzer的过滤器选项大部分的视频博客的Type都是 video/flv ,video/x-flv ,application/octet-stream 极少部分采用application/x-shockwave-flash 或干脆不表明类型。http的返回结果肯定是2XX,所以在Result 要设置成<300。返回的Size最好采用倒序排列,视频博客的大小一般比较大,倒序容易发现。 第二步:运行Http Analyzer:(点击工具栏第一个绿色箭头图标)打开YouTube 或6rooms视频博客网站。回到Http Analyzer窗口,看你需要的视频地址是不是老老实实的呆在里面呢?
关于HTTPS抓包
yichengace的博客
05-02 6053
工具:charles/fiddler;安卓模拟器(我选择了夜神模拟器),一台配置还过得去的win之前公司的app出于安全性考虑上了https,导致抓包之后全是乱码,很是影响测试计划,后来参考了网上关于抓https的文章,照着操作也没啥用,然后去问了开发,无果,后来找到了一个方法安卓机root后通过xposed上的JustTruseMe关闭证书验证至于为什么选择了模拟器而不是真机,因为刷机有风险至于...
Fiddler抓包之【 抓取https请求 】详解教程
热门推荐
m0_70618214的博客
03-16 2万+
抓包之前,先了解一下Fiddler。   Fiddler是一款免费且功能强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况,能够记录所有客户端和服务器间的http请求,支持监视、设置断点、甚至修改输入输出数据等功能。fiddler包含了一个强大的基于事件脚本的子系统,并且能够使用.net框架语言扩展。
HTTPS抓包连接过程
Ssolitude123的博客
10-23 1101
TLS分为单向认证和双向认证两种,顾名思义单向认证就是只需要客户端去验证服务端的身份,而双向认证需要服务端也要验证客户端的请求,但是十分消耗资源,导致性能低下,所以一般都不开启双向认证。服务端在收到客户端的加密的pre - master后,通过自己的私钥解密,然后根据签名协商得到的随机数A和B生成协商秘钥,然后使用协商秘钥解密被加密的摘要,再将前面接收到的所有客户端发送过来的相关安全参数进行hash之后,比较两边的摘要是否相同,从而验证握手是否合法。至此TLS/SSL安全连接就已经建立。
HTTP协议HTTPS详解(带Fiddler抓包工具使用)
qq_43842093的博客
03-01 1474
HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层(SSL/TLS).
https抓包_(五)HTTPS抓包了解TLS握手流程
weixin_39954487的博客
11-03 1707
前言:SSL/TLS的本质其实是密码学,不过作为一名开发人员对其基本的交互流程还是要清除的,所以本篇文章不涉及密码学原理,因为密码学是一门很难并且涉及到很多数学知识的方向,我也不。一、准备工作测试环境:Windows10抓包工具:Wireshark为了进行抓包时的规则过滤,只显示固定ip的tcp数据包,所以我们首先要拿到服务器的IP地址。我们用百度来进行测试,首先ping百度的域名,得到经过DN...
面试官系列 - https 真的安全吗,可以抓包吗,如何防止抓包
2401_84264096的博客
04-27 1275
SSL 由 Netscape 公司于1994年创建,它旨在通过Web创建安全的Internet通信。它是一种标准协议,用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。SSL证书就是遵守SSL协议,由受信任的CA机构颁发的数字证书。SSL/TLS的工作原理:需要理解SSL/TLS的工作原理,我们需要掌握加密算法。对称加密:通信双方使用相同的密钥进行加密。特点是加密速度快,但是缺点是需要保护好密钥,如果密钥泄露的话,那么加密就被别人破解。
Android Handler机制深度解析
"深入理解Android线程消息机制Handler详解" Android线程消息机制Android应用开发中的重要概念,主要用于在不同线程之间传递消息和执行任务。这一机制主要由四个核心组件构成:Handler、Looper、Message和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值