我眼中的HTTPS

最新推荐文章于 2023-07-28 12:28:27 发布
最新推荐文章于 2023-07-28 12:28:27 发布
阅读量1.2k 收藏
点赞数
分类专栏: 小白成长日记 文章标签: hTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nhgfd/article/details/79959448
版权

目录

前言

笔者由于项目中经常用到抓包工具,在抓包的时候Https的请求总是抓取不到,于是就研究了下https。这种网络基础方面的知识不记下来太容易遗忘了,所以写篇文章,总结下学到的以及用到的,文章如果写得有不对的地方,欢迎各位老司机指正。

什么是HTTPS

先了解下官方对HTTPS,TLS,对称加密,非对称加密的定义:

HTTPS是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但用TLS来加密数据包,HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。————维基百科
TLS是传输层加密协议,前身是SSL协议,用于在两个通信应用程序之间提供保密性和数据完整性。—————百度百科
对称加密即加密和解密使用同一个密钥,虽然对称加密破解难度很大,但由于对称加密需要在网络上传输密钥和密文,一旦被黑客截取很容易就能被破解,因此对称加密并不是一个较好的选择。————百度百科
非对称加密 即加密和解密使用不同的密钥,分别称为公钥和私钥。我们可以用公钥对数据进行加密,但必须要用私钥才能解密。在网络上只需要传输公钥,私钥保存在服务端用于解密公钥加密后的密文。————百度百科

总而言之,https就是给http套了个ssl的外壳,它在http跟tcp中间插入了ssl,从而尽量保证通信在安全以及正确的通道下进行。HTTP+加密+认证+完整性保护=HTTPS。

https的通信过程

在回顾https基础知识的过程中,笔者看过一篇非常有趣的文章,他讲往服务器发送数据以及从服务器接受数据的行为比喻成了有一只信鸽在你与服务器之前传送消息,并且把客户端和服务器以及窃取信息这三者的关系比喻成了恋爱中的双方和第三方情敌的关系,新奇不已。有兴趣的朋友可以访问以下链接:
https://mp.weixin.qq.com/s/aRs6Ah1cIwAVjXR8hK-OCg
总结Https 的握手过程,大致分为如下几步

  1. 客户端通过发送Client Hello 报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件列表(所使用的加密算法及密钥长度等)。
  2. 服务器可进行SSL通信,会以ServerHello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
  3. 之后服务器发送Certificate报文。报文中包含公开密钥证书。
  4. 最后服务器发送ServerHelloDone报文通知客户端,最初阶段的SSL握手协商部分结束。
  5. SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。
  6. 接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。
  7. 客户端发送Finish报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。
  8. 服务器同样发送Change Cipher Spec报文。
  9. 服务器同样发送Finished报文。
  10. 服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送Http请求。
  11. 应用层协议通信,即发送HTTP响应。
  12. 最后由客户端断开连接。断开连接时,发送close_notify报文,之后再发送TCPFIN报文来关闭与TCP的通信。
    在以上流程中,应用层发送数据时会附加一种叫做MAC的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。
    ——————图解HTTP

Charlest等抓包工具的使用

中间人攻击是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信双方毫不知情。
Charlest就是使用这种方式来来实现抓包的。
市面上的抓包工具操作基大同小异。以Mac下抓包Android 手机Https为例,(抓包http省略第一步)

  1. 首先将证书导入到Android 设备上
    这里写图片描述
    2.电脑端Charlest设置HTTPS抓包配置端口
    菜单栏 Proxy –> ProxySetting
    这里写图片描述
    3.手机端配置代理。一般情况下长按或点击wifi旁边的箭头,跳转到配置界面。
    这里写图片描述
    按照以上的操作,结合我们的理论分析,我们有理由相信,我们可以抓到大部分的数据包,但是结果呢?下面分别是小米6跟魅族MX5手机上抓包微博接口的测试。
    小米6
    魅族MX5
    可以发现我们正确配置之后,无法再小米6上实现抓包,所有的请求都无法正常的响应,并且提示Client closed the connection before request was mad.Possibly the SSL certificate was rejected。
    而魅族MX5上所有请求开起来是一切正常的。到底什么原因导致了这样事情的发生呢?

无法抓包的原因及解决办法

原因

出现上述问题的原因来自于Android 7.0(API24)以上的新功能,有一个名为“Network Security Configuration”的新安全功能。
https://developer.android.google.cn/training/articles/security-config.html
官方文档的意思很明确,我再7.0之后不再支持你用户自己添加的证书啦,想要信任的话,请你改代码吧。
这里写图片描述

解决办法1

1.你需要在清单文件中添加一个条目指向你的网络配置文件,类似这样

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

假设您要连接到使用自签署 SSL 证书的主机,或者连接到其 SSL 证书是由您信任的非公共 CA(如公司的内部 CA)签发的主机。
res/xml/network_security_config.xml:


<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

应用可能需要信任系统不信任的附加 CA,出现此情况的原因可能是系统还未包含此 CA,或 CA 不符合添加到 Android 系统中的要求。应用可以通过为一个配置指定多个证书源来实现此目的。

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="@raw/extracas"/>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>

当然还有更多详细的操作,具体就需要通过访问官方文档去详细探究了。

解决办法2

2.你可以选择一款低于android 7.0 的手机进行HTTPS的抓包测试。

采用双向验证的应用

如果按照如上的设置及修改还是无法抓取到想要抓取的数据包,考虑可能碰上了需要双向验证的app,在通信过程中,服务器会验证app的公钥证书,这时候,就无法采用中间人攻击的方式进行抓包了。

爱做的小乌龟
关注
专栏目录
我眼里的Weblogic 反序列化
Vicl1fe的博客
06-02 306
前言 满怀期待的学习Weblogic反序列化 环境搭建 本来想着自己下载webloigc环境,搞了半天也没搞定,年少不知工具香。 还是选择了在docker里搭建,然后使用idea进行远程调试。 weblogic下载地址,我下载的是10.3.6.0的 https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html jdk7下载地址 http://www.oracle.com/java/technologies/jav
Python人脸识别—我的眼里只有你
阿黎逸阳的博客
06-25 3738
浪漫表白——我的眼里只有你
Charles(3) https请求抓包问题
郑清
01-03 7702
文章目录一、前言二、https抓包问题 -- 浏览器安装证书 `Help` -> `SSL Proxying` -> `Install Charles Root Certificate`信任证书操作三、https抓包问题 -- iPhone手机保存证书 `Help` -> `SSL Proxying` -> `Save Charles Root Certificate ...` 一、前言 Charles请求转发 https://zhengqing.blog.csdn.net/ar
绕过微信小程序单向证书校验
菜鸟学安全的博客
07-28 1558
绕过微信小程序单向证书校验
2021-10-29
R_miss的博客
10-29 4036
mac下charles 抓包问题 -证书有效期1年过期后,替换证书仍然无法抓包 Failure Client closed the connection before a request was made. Possibly the SSL certificate was rejected. Notes You may need to configure your browser or application to trust the Charles Root Certificate. See SSL Pr
charles抓包报错:No request was made. Possibly the SSL certificate was rejected.
weixin_33736832的博客
04-02 5415
ios设备连接Charles抓包的时候,Charles显示unknown, 错误信息:No request was made. Possibly the SSL certificate was rejected.的解决办法如下: 前提:手机设置代理没问题,证书也安装了 安装证书的方法: charls->help->SSL Proxying->Install charles...
nginx1.19.3 配置SSL后无法访问
changbboy3的博客
12-02 2728
nginx1.19.3 配置SSL后无法访问 环境是有台web服务器,该服务器不是一台公网的服务器属于内网的服务器,通过分配的二级域名 ss.text.com:8090 访问到该web服务器。目前配置好的nginx如果不加https的话可以正常访问所有业务。加了https后刚开始能访问,如果有多个用户访问则开始失败。防火墙检查了没有开启。另外该web服务器只是做代理使用。真正的业务在后台内网里。 1.贴出nginx的版本: 2.nginx的配置文件: #user nobody; worker_proce
眼中的密度函数
许卉的博客
04-28 1496
数据探索时涉及到的三个函数为密度函数、分布函数与生存函数,其中样本的分布函数的形态、生存函数的形态基本没有太大变化,然而样本的密度函数分布形态却有着很大的差异,所以一般在进行数据分析领域提到分布时,指的都是直方图所描述的密度函数。 依据密度函数的形状,可以将数据分布大致分为四种,需要分析师能够做到看到每种分布图就能解读出分布背后所隐含的信息,以下是我对这四种密度函...
眼中的webrtc
ddr77的专栏
03-26 880
写这篇文章的初衷,是因为这段时间面试,不少面试官一开头就直接问:webrtc是干嘛的?然后就是稀稀拉拉的问一堆问题,相关性都不太大。自己回答也就东一块 西一块,缺乏对webrtc完整的理解。刚好自己趁这个时间整理下,也算个总结 webrtc是什么概念呢?我认为就一句话:标准化了rtc的通信流程和协议。自从2017年webrtc提交1.0版后,从2018年开始特别是去年,它本身一句成为实时通...
眼中的变量聚类
许卉的博客
06-24 5092
连续变量怎样压缩? 连续变量压缩的基本思路为:建模之前使用主成分、因子分析或变量聚类的方法进行变量压缩,后续建模时使用向前法、向后法、逐步法或全子集法进一步进行变量细筛。虽然方法的名称叫做变量聚类,但却并不是聚类分析,而是一种主成分分析的方法。 ...
Charles抓包遇到的坑,看这一篇就够了
无名的一棵小树
11-21 3万+
Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后实现抓包功能,本文主要讲android7.0以后如何实现抓包功能: 首先下载安装Charles工具: 官方下载网址:https://www.charlesproxy.com/download/ 这里引用别人如何安装破解版的方法:别人的博客 首先通过 https://www.zzzmode...
解决Charles抓包https时,无法查看CONNECT请求的问题
Sugarhiy的博客
02-08 1629
解决Charles抓包https时,无法查看CONNECT请求的问题
如何解决SSL/TLS握手过程中失败的错误?
流风回雪的博客
02-17 3万+
How to fix the SSL/TLS Handshake Failed error Fixes for the SSL/TLS Handshake Failed error for both internet users and site owners It’s time for another technical article, today we’re going to di...
CURL使用SSL证书访问HTTPS
热门推荐
kobejayandy的专栏
03-31 6万+
在支付的交互过程中,安全绝对是需要考虑的重要因素之一。体现在对服务器交互数据的签名等环节,但有的时候为了能达到更高的安全级别,还需要用ssl证书,即web服务器有证书,浏览器客户端/请求端也需要安装证书来达到双向验证。 比如请求下面的财付通支付网关,用户向商户账户支付金额,仅仅是需要检查签名就行了 https://gw.tenpay.com/gateway/pay.htm 但
解决莫名其妙出现connection closed的错误
weixin_33816300的博客
10-20 2万+
最近发现使用了springMVC的新项目偶尔出现connection closed,同事反映当访问同一个controller时经常出现类似错误 上回发现在使用 &lt;context:component-scan base-package="com.controller" /&gt; 对@cont...
ctfshow 我的眼里只有$
最新发布
08-29
"ctfshow 我的眼里只有$。" 这句话显示出了一个CTF(Capture The Flag)比赛选手对于编程中变量$的重要性的强调。 在很多编程语言中,$符号通常用来表示变量。这个符号的重要性在CTF比赛中尤为显著。比赛选手通过解决各种与信息安全和网络攻防有关的问题来获取旗帜(标志),而这些问题往往需要对程序进行分析和逆向工程。 “我的眼里只有$”传达了这样一种理念:在CTF比赛中,理解和掌握变量$的作用和使用方式是非常重要的。这种理念反映了选手将其聚焦在利用变量$来解决和获得竞赛中的各种问题和任务上。 除此之外,这句话也可能指向一种对于金钱和利益的追逐。$符号在金融领域中代表货币,它可能象征着个人的财富和成功。因此,“ctfshow 我的眼里只有$”也可能意味着选手将CTF比赛视作一种追逐财富和成就的方式。 总之,“ctfshow 我的眼里只有$”这句话是一个简练的表达,传达了选手在CTF比赛中对于变量$的看重和追求,以及对于财富和成功的某种追逐。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值