HTTPS 防范中间人攻击原理

最新推荐文章于 2024-08-06 11:16:32 发布
最新推荐文章于 2024-08-06 11:16:32 发布
阅读量2.9k 收藏 7
点赞数 1
分类专栏: 网络安全协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenshaojun/article/details/109121888
版权
HTTPS通过CA证书实现双向认证,有效防范中间人攻击,但单向认证时仍存在SSL剥离和SSL劫持风险。SSL剥离攻击通过HTTP与用户交互,而SSL劫持则使用伪造CA证书。防御措施包括启用服务器端HSTS和实施双向认证。参考多个来源深入探讨了相关概念和技术对策。
摘要由CSDN通过智能技术生成

HTTPS因为增加了CA证书,可以在会话前通过证书验证证明通信的彼此就是所声称的人,因此可以防范中间人攻击。这种防范中间人攻击的前提是在HTTPs协议的双向认证上。如果仅仅实现了HTTPs的单向认证,如不验证客户端,只验证服务器,这种情况下还是不能抵御中间人攻击的,这种情况下就会出现SSL剥离攻击(SSLTripSSL劫持攻击(使用各种代理软件,如burpsuit或Filder等)。

SSL剥离攻击剥离SSL协议,表现为用户和攻击者之间使用HTTP,攻击者和服务器之间使用https协议。

SSL劫持攻击表现为用户和攻击者之间使用攻击者伪造的CA证书使用其https协议进行通信,(其中重要的步骤是把burpsuit的CA根证书导入用户浏览器,这样用户浏览器就能信任假CA发给中间人的证书(即信任中间人burpsuit),建立客户端和中间人之间的会话信道)。而攻击者和服务器之间使用真正的CA证书创建的对称秘钥进行加密,攻击者收到客户端信息先用前者会话秘钥解密,再使用后者之间的会话秘钥加密。这样使得客户端和服务器都以为是和真正的对方通信。

      为了防止SSL剥离攻击,可以(1)在服务器上开启HSTS(HTTP Strict Transport Security, HTTP 严格传输安全),使服务器只接收使用HTTPS的连接。(2)将 HSTS 站点列表内置到浏览器中,这样只要浏览器离线判断该站点启用了 HSTS,就会跳过原先的 HTTP 重定向,

最低0.47元/天 解锁文章
shenshaojun
关注
专栏目录
关于Https安全性问题、双向验证防止中间人攻击问题
Dr的专栏
01-18 2万+
关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。1、Https比Http安全性? 是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说H
【干货】为什么都跑去用HTTPS了?
XMWS-IT
09-21 465
1. HTTP 协议 在谈论HTTPS协议之前,先来回顾一下 HTTP 协议的概念。 1.1 HTTP 协议介绍 HTTP 协议是一种基于文本的传输协议,它位于 OSI 网络模型中的应用层。 HTTP 协议是通过客户端和服务器的请求应答来进行通讯,目前协议由之前的RFC 2616拆分成立六个单独的协议说明(RFC 7230、RFC 7231、RFC 7232、RFC 7233、RFC 7234、RFC 7235),通讯报文如下: 请求 POSThttp://www.baidu...
【网络安全】https协议的加密方案避免中间人攻击(MITM攻击)导致的数据泄露风险
最新发布
2301_79796701的博客
08-06 1827
客户端拿到黑客的公钥M,在本地生成自己的私钥C。用黑客的公钥M加密,然后再向服务器发起请求,黑客很自然的用自己的私钥M*解密,拿到客户端的私钥C,然后用服务端的公钥S加密向服务端发起请求,至此客户端,黑客,服务端都拿到密钥C,客户端和服务端用密钥C进行对称加密通信,但双方并不知道有第三方也拿到了密钥C。客户端在本地生成自己的私钥C,然后用服务端的公钥S加密,即使有中间设备,但该数据包只有服务端的私钥S*解密,私钥C只有客户端和服务端知道,从次双方用私钥C对称加密进行通信,至此通信双方完成密钥协商。
清晰图解https如何防范中间人攻击
热门推荐
oZhuZhiYuan的博客
06-09 1万+
https/tls原理 HTTPS访问的三个阶段 第一阶段 认证站点 客户端向站点发起HTTPS请求,站点返回数字证书。客户端通过数字证书验证所访问的站点是真实的目标站点。 第二阶段 协商密钥 客户端与站点服务器协商此次会话的对称加密密钥,用于下一阶段的加密传输。 第三阶段 加密传输 客户端与站点直接使用已协商的对称加密密钥传输数据。 以下用一张图描绘CA、站点服务器、客户端之间的交互关系 中间人攻击 中间人攻击的几种形式 直接抓取报文获得明文信息 非法中间加密代理,窃取明文信息
SSL中间人攻击原理防范
05-21
SSL中间人攻击原理防范,感兴趣的自己看
Https中间人攻击
yshir
11-04 4507
Https中间人攻击 https协议由 http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥。 攻击者截获公钥,保留在自己手上。 然后攻击者自己生成一个【伪造的】公钥,发给客户端。 客户端收到伪造的公钥后,生成加密hash值发给服务器。 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。 同时生成假的加密hash值,发给服务器。 服务器用私钥解密获得假秘钥。 服务器用加秘钥加密传输信息 防范方法: 服务端在发.
【Android】HTTPS中间人攻击”分析与防御
sinat_36955332的博客
11-30 1266
一、HTTPS的作用 1、 认证服务端与服务器,确保相互之间的信任关系。 2、 加密数据,防止泄露。 3、 验证数据完整性,防止篡改。 二、 HTTPS工作原理 我们这里所关注的Https工作原理,主要指的是SSL协议的握手流程; HTTP +加密+认证+完整性保护=HTTPSHTTPS是身披SSL外壳的HTTP;HTTPS并非是应用层的一种新协议,而是HTTP通信接口部分用SSL协议代替,通信时,HTTP先和SSL通信,再由SSL与TCP通信。 HTTPS采用对称加密和非对称加密两种加密机制
移动应用APP中间人攻击的分析与测试.pdf
08-26
正确地使用HTTPS防范中间人攻击的有效办法。HTTPS是包含了SSL数字证书的HTTPS协议,它解决了加密、认证和数据的完整性。 在实际应用中,国内一些Android APP虽然使用了HTTPS的通信方式,但只是简单地调用而已,并...
HTTPS原理防范中间人攻击
qq_35430000的博客
02-21 1615
HTTPS 随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTPS 的底层原理如何实现? 用了 HTTPS 就一定安全吗? 本文将层层深入,从原理上把 HTTPS 的安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTTPS 协议之所以是安全的是因为 H
https中间人攻击防范
CoderAldrich的专栏
09-09 902
https中间人攻击防范 这里的中间人场景主要是Windows平台下的C/S架构劫持,技术指的是SSL劫持攻击,即SSL欺骗,剥离攻击暂不涉及。整体原理是伪造证书,既充当请求方的server角色,又充当真正server的请求方。以此来获取和篡改通信的明文报文数据。 整体流程 使用openSSL制作证书 编写代理程序 根证书添加到可信任发布机构 设置系统代理 证书制作 首先装个openSSL,安装包下载地址:http://slproweb.com/products/Win32OpenSSL.html
Https如何防范中间人攻击
ITJingYing2050的博客
03-12 1273
1.什么是中间人攻击? 在手机或者电脑和服务器建立连接的时候,攻击者通过工具或者技术手段将自己位于两端之间,获取数据,进行监听活动的就是中间人攻击。 2.有哪几种攻击: 1.嗅探,监听获取连接数据包。 2.数据包注入,将恶意数据包注入常规数据包里面。因为是合法通讯流,用户不易察觉。 3.会话劫持,登录退出银行账户就是一个会话。会话中有很多重要信息,通过监听或者控制会话。 4.SSL剥离...
简述HTTPS中间人攻击
liuhao9999的博客
03-22 1636
https协议由 http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥。 攻击者截获公钥,保留在自己手上。 然后攻击者自己生成一个【伪造的】公钥,发给客户端。 客户端收到伪造的公钥后,生成加密hash值发给服务器。 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。 同时生成假的加密hash值,发给服务器。 服务器用私钥解密获得假秘钥。 服务器用加秘钥加密传
https的证书验证机制真的能防止中间人攻击吗?
weixin_42576410的博客
01-04 319
是的,https 的证书验证机制真的能防止中间人攻击。当客户端(例如浏览器)连接服务器时,服务器会向客户端发送其 SSL/TLS 证书。客户端收到证书后,会对其进行验证,以确定证书是否有效并由可信的证书颁发机构颁发。如果证书无效,客户端会向用户显示警告信息。如果证书有效,客户端会生成一个随机的密钥(称为“会话密钥”)并使用证书中的公钥加密该密钥,然后将加密后的密钥发送给服务器。服务器使用自己的私钥...
HTTPS——HTTPS如何加密数据,“证书“为什么可以应对 “中间人攻击
The_emperoor_man的博客
07-23 1151
用图文详细讲解了HTTPS中的对称加密,非对称加密,以及证书应对中间人攻击
https的安全性与执行机制
weixin_43240744的博客
04-30 374
我们都知道前后端的通信是通过http协议去进行的,但是http的安全性却得不到保障。比如 前后端通信过程使用明文,内容可能会被窃听 不验证对方身份,无法保证信息能准确发送给目标 通信内容可能被篡改 ...
您的网站需要部署SSL证书来防御被网络攻击
SSL加密技术
11-06 293
近年来,数据泄露事件频发,使得用户的信息泄露,也使得企业遭受巨大的损失,尤其是企业品牌形象会严重受损,而造成不可挽回的损失。 网络攻击对于一些中小型企业来说,破坏可能是毁灭性的。因为对于中小型企业来说,其人员、资金有限,相比于那些实力雄厚的大型企业来说,可能不具备那么多的资源和技术来应对网络攻击。 因此,面对无处不在的黑客、病毒、网络攻击,应为网站部署SSL证书来防御被网络攻击,实现基础的ht...
深入理解HTTPS及其安全性问题
dong123ohyes的专栏
01-06 3378
目录 一、HTTP 为什么不安全 1.窃听风险 2.篡改风险 3.冒充风险 二、安全通信的四大原则 三、HTTPS 通信原理简述 1.对称加密:HTTPS 的最终加密形式 2.非对称加密:解决单向对称密钥传输问题 3.数字证书,解决公钥传输信任问题 问题一:如何验证证书的真实性,如何防止证书被篡改 问题二:如何防止证书被调包 四、其他 HTTPS 相关问题 1.什么是双向认证 2.什么是证书信任链 总结 用20张图彻底征服HTTPS! 近年来各大公司对信息安全传输越来.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值