第 58 题:请描述 HTTPS 中间人攻击?

最新推荐文章于 2024-06-10 23:30:57 发布
最新推荐文章于 2024-06-10 23:30:57 发布
阅读量147 收藏
点赞数
文章标签: js html css node 前端 面试题 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21774317/article/details/120561588
版权

在参考连接中以及里面的大神评论中,我感觉漏了一些重要的点,所以按照个人的理解进行了一些调整,如有错误的地方还请大神纠正

中间人攻击过程如下(根据个人理解调整了)

通讯过程 客户端——中间人——服务器

过程如下

  1. 服务器向客户端发送公钥

  2. 攻击者截获公钥,保留在自己手上

  3. 然后攻击者自己生成一个【伪造的】公钥,发给客户端

  4. 客户端收到【伪造的】公钥后,利用【伪造的】公钥生成加密 hash 值发给服务器

  5. 攻击者截获加密 hash 值,用自己的私钥解密获得真秘钥

  6. 然后攻击者利用服务器的公钥对真秘钥进行生成假的加密 hash 值,发给服务器

  7. 服务器用私钥解密假的 hash 值获得真秘钥

  8. 这个时候,服务器和客户端将利用真秘钥进行数据加密传输,但是它们却不知道攻击者也有真秘钥,并且传输必须经过攻击者进行转发数据

如何防止中间人攻击?

服务端在发送浏览器的公钥中加入 CA 证书,浏览器可以验证 CA 证书的有效性

参考资料 第 91 题:介绍下 HTTPS 中间人攻击

#

文章的内容/灵感都从下方内容中借鉴

.Noxus丶SJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C58:这是可选的吗?
02-15
C58:这是可选的吗?
密码学中间人攻击
马马也的个人博客
05-28 4278
之前我们讲了Diffie和Hellman在1976年提出的密钥交换协议,即公玥密码体制的开端,对于该协议来说,通过一般的攻击方式比如窃听是很难得到通信双方协商的公钥的,但中间人攻击是最容易攻破该协议的。下面我们就讲述一下密码学中间人攻击中间人攻击是攻击者在间截取发送方Alice和接收方Bob的通信。对于Alice来说,间人伪装成接收方Bob,对于Bob来说,间人伪装成发送方Alic...
老弟,你连HTTPS 原理都不懂,还给我讲“中间人攻击”,逗我吗...
朱小厮的博客
12-07 2229
点击上方“朱小厮的博客”,选择“设为星标”后台回复”加群“加入公众号专属技术群来源:urlify.cn/zQj6f2这篇干货不错,把HTTPS的原理讲清楚了,而且容易懂,建议大家好好读一...
什么是中间人攻击
SSL加密技术
09-07 9028
中间人攻击(通常缩写为MitM或MiM)是一种会话劫持网络攻击。黑客拦截数字共享的信息,通常是作为窃听者或冒充他人。这种类型的攻击非常危险,因为它可能会导致一些风险,如信息被盗或虚假通信,通常很难检测到这些危险,因为情况对合法用户来说似乎完全正常。 本文将涵盖您需要了解的关于中间人攻击的点,包括: 什么是中间人攻击中间人攻击是怎样的? 中间人攻击有哪些不同的攻击类型? 中间人攻击的潜在风险是什么? 中间人攻击是如何演变的? 现实生活遭受中间人攻击的例子 如何防范中间人攻击? 什么是
对称加密、非对称加密、混合加密
我不是啊嫩的博客
03-17 1032
对称加密、非对称加密、混合加密 对称加密 两边用同一个密钥来加解密。 A把明文通过某一算法加密之后得到密文,然后把密文发送给B,B接收到密文之后用相同的密钥执行相同的算法去解密。X没有密钥,即使窃取到密文也无法窃听。 对称加密的优缺点: 优点:加解密速度快 缺点:会出现密钥分配问题;密钥容易复制,不便于安全管理 密钥分配问题 对称加密存在密钥分配问题,A的密钥怎么才能安全的传输到B手里不被X获取到?A直接发送密钥给B还是可能被X窃取到这个密钥,这样加密信息等于是在裸奔了。 只有用密钥加密后的信息才能安
中间人攻击
热门推荐
程序那些事
01-15 1万+
前面的文章我们讲到了RSA算法以目前的手段是很难被攻破的,那么使用RSA算法是不是就一定安全了呢? 答案当然是否,因为我们并没有考虑到网络传输的各种情况。本文会讲一种攻击叫做中间人攻击,为了抵御这种攻击,我们引入证书的概念。我们会在后续的文章讲解证书的概念。这里我们重点讲一下中间人攻击。 所谓中间人攻击就是在A和B通信的过程加入了恶意攻击者C。C作为间人转发两者的求。 示意图如下: 消息...
Java面试题58:hibernate的缓存.mp4
09-09
Java面试题58:hibernate的缓存.mp4
58讲:模型编辑应用技法2.mp4
04-16
视频教程
KV58_2019电赛F.7z
08-29
2019年全国大学生电子设计大赛F纸张计数显示装置,电赛国二程序,实测可50+张纸。这份是基于NXP KV58的源码,另有msp430的版本...(第一次打开工程先运行,删除临时文件.bat)
银行业流动性周观察第58期:流动性到底怎么了?——基于超储率和NSFR模型的推演.pdf
08-22
银行业流动性周观察第58期:流动性到底怎么了?——基于超储率和NSFR模型的推演.pdf
非对称加密中间人攻击方式和解决方案
wangrenhaioylj的博客
02-03 1494
关于RSA中间人攻击
实践求真知
09-22 6330
一 点睛 中间人攻击的方法不能破译RSA,但却是一种针对机密性的有效攻击。 所谓中间人攻击,就是主动攻击者混入发送者和接收者间,对发送者伪装成接收者,对接收者伪装成发送者的攻击方式。 二 攻击过程 场景:发送者Alice准备向接收者Bob发送一封邮件,为了解决密钥配送问题,它们使用了公钥密码。攻击者位于通信路径,我们假设他能够任意窃听或篡改邮件的内容,也可以拦截邮件使得对方无法接收到。...
Android程序员面试必须要掌握的:Https加密原理、中间人攻击到底是怎么回事
m0_64604311的博客
12-08 454
2.客户端如何通过证书确定服务端的身份? 证明下面两点,(然后才可以使用证书上的公钥来加密生成Session key的随机数) 证明baidu.com这个证书确实是百度的 证明baidu.com这个证书没有被其他人攥改过 证书以证书链的形式组织,在颁发证书的时候首先要有根CA机构颁发的根证书,再由根CA机构颁发一个级CA机构的证书,最后由级CA机构颁发具体的SSL证书。 数字证书采用信任链验证。数字证书的信任锚(信任的起点)就是根证书颁发机构。根证书(root certificate)是一个无签
解析中间人攻击(4/4)---SSL欺骗
weixin_30755709的博客
03-31 165
  本文我们将探讨SSL欺骗和SSL连接理论及其安全性问题。   导言   前面的文章,我们已经探讨了ARP缓存毒、DNS欺骗以及会话劫持这四种中间人攻击形式。在本文,我们将研究SSL欺骗,这也是最厉害的中间人攻击方式,因为SSL欺骗可以通过利用人们信赖的服务来发动攻击。首先我们先讨论SSL连接的理论及其安全性问题,然后看看SSL连接如何被利用来发动攻击,最后与大家分享关于SSL欺骗的检...
前端面试重要问题总结(前端100问小结)(十)
weixin_43936704的博客
03-06 554
第 91 :介绍下 HTTPS 中间人攻击 目讨论 https协议由 http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥。 攻击者截获公钥,保留在自己手上。 然后攻击者自己生成一个【伪造的】公钥,发给客户端。 客户端收到伪造的公钥后,生成加密hash值发给服务器。 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。 同...
HTML静态网页成品作业(HTML+CSS)—— 环保主介绍网页(5个页面)
weixin_42283461的博客
06-10 1087
HTML静态网页成品作业(HTML+CSS)—— 环保主介绍网页(5个页面)
HTML跨年烟花
兔子王
06-04 1万+
学会了这个html烟花秀,跨年就不缺文案喽~
html】如何利用HTML+CSS制作自己的印章
最新发布
weixin_56334307的博客
06-10 553
大家有没有尝试过用HTMLCSS制作自己的印章.首先印章圆形的边框。
?? 11, 2023 3:58:36 ?? org.apache.coyote.http11.AbstractHttp11Processor process ??: ?? HTTP ?? header ?? Note: further occurrences of HTTP request parsing errors will be logged at DEBUG level. java.lang.IllegalArgumentException: ??????????????, HTTP ???????????. at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:139) at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1108) at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:654) at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:317) at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617) at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) at java.lang.Thread.run(Thread.java:745)
07-12
...可能是由于求格式不正确或存在无效的求行导致的。 ...这意味着以后发生的类似错误将在调试日志记录下来,以帮助进行故障排除和调试。...另外,你也可以查看服务器的配置和日志文件,以获取更多关于该错误的详细...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值