为什么站点使用https加密之后还能看到相关数据

最新推荐文章于 2022-07-31 16:41:18 发布
最新推荐文章于 2022-07-31 16:41:18 发布
阅读量659 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/SzSec/p/6932521.html
版权

为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,并且还是明文的?例如说这样:

这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。

加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。

可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码,以支付宝为例:通过下图可以发现就算在本地也无法查看账号信息。

针对这个问题,建议:行政、金融、电商等需要高安全防护的站点在实行https加密外,还应该部署客户端证书,以强身份认证的方式替代不安全的账号密码认证,确保登录过程中的安全无忧,同时还能弱口令漏洞,最大程度保护用户信息安全。

此外,针对使用安全控件辅助登录的站点,建议使用代码签名证书,以保证安全控件在下载传输过程中没有被篡改及破坏。从而保证代码的完整性,保护用户不会被病毒、恶意代码和间谍软件所侵害,真正做到全面安全防护。

转载自:http://suo.im/3rwOX9

转载于:https://www.cnblogs.com/SzSec/p/6932521.html

weixin_30429201
关注
某网站提交登陆信息加密JS逆向实战分析
吴秋霖的博客
07-14 1万+
爬虫在模拟网站登陆的过程中发现用户信息都是被加密处理的,怎么办?一个案例教你JS逆向分析加密算法
为什么站点实现了https加密之后还是能看到相关数据
weixin_33763244的博客
10-08 348
为什么80%的码农都做不了架构师?>>> ...
为什么能看到https报文的明文?
zmflying8177的博客
08-31 2334
既然https对报文进行了各种加密,为什么在本地还能直接看到http源码呢?
http/https镜像流量的解析问题
weixin_33989780的博客
06-06 3247
场景 由于业务需要,客户提供http/https的流量镜像,让我们分析是否有异常行为。由于我们的系统的输入源只能是日志,故最快捷的办法是把http/https流量转换成http日志已满足异常分析的需求。 流量镜像或者复制方式 端口镜像 通过交换机或路由器上的端口镜像功能,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口...
HTTPS URL 传参安全吗?
06-09 2954
请求参数能通过URL安全传递吗? 当客户看到 HttpWatch 中的 HTTPS请求后经常会问这个问题,同时客户也想知道还有谁能看到这些数据。 举个例子,假设我们使用以下URL在请求查询参数中传递密码。 https://www.httpwatch.com/?password=mypassword 由于 HttpWatch 集成在浏览器中,因此可以看到SSL加密前的数据。 image 如果你使用像 Network Monitor 这样的抓包工具,会发现只能看到加密后的数据,根本看不到.
零基础了解Https-https协议详解
newhope1106的博客
08-05 3997
https其实就是在TLS(TLS是SSL的继任者,目前SSL基本被废除,用TLS代替)之上的http协议,所以各种头信息以及数据格式和http其实都一样,主要区别就在TLS,下面我们来看看TLS是如何工作的。 本章咱们讨论一下TLS的一个整体思路,和一些重要的细节,所有的细节请参看RFC文档。tcp三次握手完成之后,就是TLS握手。 TLS握手 和TCP的握手一样,TLS在工作之前也需要握...
项目安全 数据加密传输——RSA和HTTPS
m0_38068812的博客
04-14 892
一、RSA 数据加密传输 漏洞:HTTP所有的访问都是明文的,只要能够监听到网络,所有的请求数据全是透明的; 加密传输: 1,在表单提交之前,使用自己的一个加密算法对用户名/密码进行加密,然后再提交,后台根据算法,对提交的数据进行解密; 缺陷:前端JS加密(可逆的);在网络上的数据加密的,但是如果能够看到我这段加密的js,就能解密;(JS混淆) 2,对称加密算法; 缺陷:需要非常大量的密钥,后...
md5在线加密解密是不是什么都能解密?为什么我的没有解出来呢?
m0_69916115的博客
06-29 980
网上有很多md5在线加解密站,熟悉网络安全或者IT技术的朋友可能会比较熟悉。MD5是一种加密技术方法。MD5的全称是Message-digest Algorithm 5,也称为信息摘要算法。主要是用于保证信息传输的完整一致。...
在云服务器上使用iis搭建一个ftp站点的方法图解
09-30
- 考虑使用SSL/TLS来加密FTP传输过程,以保护数据的安全。 - 设置好防火墙规则,只允许FTP相关的端口(如21)进行通讯。 - 定期更新和打补丁服务器软件,避免潜在的安全漏洞。 - 定期备份FTP站点数据,以防数据...
【总结】理解HTTPS协议中信任关系和加密传输
douruiling的博客
07-31 1198
对于SSL安全协议,相信不少人都不陌生。比如https网页传输协议便基于SSL安全协议,如果你打开页面曾遇到这样的界面,那么就是SSL安全协议在起作用了。这意味着这家站点的证书不可信,浏览器建议你关掉它,除非你有十足把握,那么可以选择Advanced….........
为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
热门推荐
认知 行动 坚持
09-23 3万+
在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?         一些人认为, https加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。         下面, 我们以知乎的登录过程来看看,输入密
https抓包为什么能看到明文?
chanao9465的博客
08-21 4142
https抓包原理 很多工具可以抓包,我用的是Charles for Mac 可以抓包。 抓手机https包的过程mac要安装证书并设成新人,先把手机局域网设成和MAC一样的,设置代理IP和443端口,然后手机下载证书并安装,同时设置信任。之后Charles就能抓到手机上的网络请求了。 抓包工具伪造了自签名证书之后可以成功抓包,并且抓到的是明文。 加密层位于http层(应用层)和tcp层(传输层)...
网络篇 - https协议中的数据是否需要二次加密
u014294681的博客
01-23 1万+
随着互联网整体的发展,https也被越来越多的应用。甚至苹果去年还曾经放言要强制所有的 app都使用 https,可见在如今的互联网它的重要性。前面的文章说了OSI 七层模型,https 可以保证数据在传输层是安全的。那么如果使用https,传输的数据还需要做二次加密吗?是否有过度设计的感觉,让我们来分析是否有这个必要性。 目录: 何为 https 证书 https 证...
查看https请求数据
bounsail的博客
02-23 647
Fiddler抓包HTTPS请求过程: Fiddler截获客户端发送给服务器的HTTPS请求,此时还未建立握手。 Fiddler向服务器发送请求进行握手, 获取到服务器的CA证书, 用根证书公钥进行解密, 验证服务器数据签名, 获取到服务器CA证书公钥。然后Fiddler伪造自己的CA证书,冒充服务器证书传递给客户端。 客户端根据返回的数据进行证书校验、生成密码Pre_master、用Fiddler伪造的证书公钥加密,并生成HTTPS通信用的对称密钥enc_key。 客户端发送信息到服务器,被Fiddl.
HTTPS协议深度解析:原理、优势与挑战
服务器使用私钥解密得到对称密钥,之后双方使用此对称密钥进行数据加密和解密。 3. 全站HTTPS的优势 全站HTTPS可以提供以下优势: - 数据安全:所有页面内容均加密传输,防止数据在传输过程中被窃取或篡改。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值