从fiddler的配置过程中,思考中间人攻击的防范

最新推荐文章于 2022-11-01 20:09:54 发布
最新推荐文章于 2022-11-01 20:09:54 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42100211/article/details/113823402
版权

清晰图解https如何防范中间人攻击 https://blog.csdn.net/oZhuZhiYuan/article/details/106650944
中间人可以获取站点的证书,但不能获取站点的私钥,所以无法与客户端进行密钥协商。但中间人也不是没有办法,既然获取不到站点的私钥,那索性就不用站点的证书,比如fiddler。
fiddler会使用自己的证书,而不使用站点的证书。这需要用户手动添加并信任fiddler的证书。

Android系统https抓包问题分析 https://www.cnblogs.com/jiangjunyong/p/13272164.html
如果用户缺乏安全知识,添加了攻击者颁发的证书,或者没有添加信任但是无视了安全告警,那https也无法阻止攻击。这篇文章提到了SSL pinning(也叫客户端预埋证书),消除了这个隐患。不过预埋也可以被XPosed+justTrustMe绕过,使预埋验证被跳过。(网上有的https教程,验证函数直接return true,或者是直接使用开源框架,而一些开源框架的验证函数也没写)

SSL劫持(即类似fiddler)与SSL剥离(另一种中间人攻击思路,且浏览器不会发出警告!):
https://blog.csdn.net/shenshaojun/article/details/109121888

HSTS代表HTTP Strict Transport Security ,是国际互联网工程组织IETE正在推行一种新的Web安全协议,它是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。
HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

rookie19_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
Android开发过程需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
Fiddler特殊中间人劫持数据
热门推荐
Codeooo 博客
08-18 1万+
Fiddler中间人特殊劫持数据 如果遇到加密严重的情况下,又想拿到数据,可采取该方法。 1.在菜单栏 Rules下找到Customize Rules (快捷键 CTRL + R) 2.在 Fiddler ScriptEditor 修改 OnBeforeResponse 函数,达到控制Response返回的数据。 3.将修改的函数保存,重启后可以将数据写入本地。 public static var company_id: String = ''; static function OnBefo
漫画:什么是中间人攻击
码农翻身
03-10 1286
来自:梦见 (微信公众号: dreamsee321)作者:玻璃猫故事发生在上世纪40年代......在解放战争初期,东北牡丹江一带,奶头山有一个土匪副官叫栾平。他计划将包...
关于Https安全性问题、双向验证防止中间人攻击问题
限量发行的专栏
12-04 1956
最近项目遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。 1、Https比Http安全性?  是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说HTTPS的双向验证)。当然,Https是
fiddler配置详情.docx
05-25
在使用fiddler抓取HTTPS流量时,浏览器通常会显示“网页不安全”的警告,这是由于fiddler作为中间人代理,需要安装其自签名的根证书来解密HTTPS流量。以下是一步一步的配置步骤: 1. **启用HTTPS解密** - 打开...
Fiddler文免安装.zip
12-25
3. **断点调试**:Fiddler支持设置断点,可以在请求或响应过程暂停,允许用户在数据发送到服务器或从服务器返回之前对其进行修改。 4. **脚本扩展**:Fiddler内置了基于JScript.NET的脚本引擎,允许用户编写...
Fiddler文手册
01-25
fiddler是最强大最好用的Web调试工具之一,Fiddler包含了一个强大的基于事件脚本的子系统,并且能使用.net语言进行扩展,适用于:开发环境的host配置;前后端接口调试;线上bugfix;性能分析和优化等等。
fiddler文免安装版
最新发布
11-16
**Fiddler文免安装版详解** Fiddler是一款强大的网络封包分析工具,由Telerik公司开发,广泛应用于Web应用程序的调试、性能测试和安全评估。它能够捕获HTTP和HTTPS流量,帮助开发者深入了解网络通信过程,解决...
fiddler文包
07-24
- `Be.Windows.Forms.HexBox.dll`是用于在Fiddler显示十六进制数据的控件,方便查看二进制内容。 - `EnableLoopback.exe`是一个小工具,它允许Fiddler抓取来自localhost的流量,这对于本地开发和测试至关重要。 ...
抓包修改请求欺骗服务器,Fiddler协议捕获编辑工具与Session欺骗原理详解
weixin_34643336的博客
08-11 2707
今天Kitty主要与大家分享Fiddler抓包工具与协议捕获编辑工具来与大家讲解Session欺骗原理过程,咱们主要通过Fiddller协议捕获工具来对比HTTPWatch两款工具之间的差别,最主要的是我们可以通过捕获到的请求进行二次编辑重新发送给服务器,这间我们做了一个请求的截获,这样就能够通过人工的方式改变捕获的接口请求本身,通过前端的界面拼装好默认的标准,按照自己的想法来组装请求,这样就能...
Fiddler使用注意事项
qq_492448446的博客
09-16 429
左侧: Replay用于回放 decode用于转码,不管需不需要转码,都可以点击 右侧: Inspectors用的最多 Hearder存放cookie,Client(包括Aaccept-Encoding/Languange,Content-type...
Fiddler笔记(一)
漫步云端的博客
06-02 760
简介:Fiddler是位于客户端和服务器端的HTTP的代理
Fiddler显示服务器IP的最简单办法
Mooring's Space
10-29 580
Web前端开发经常需要在各种host查看效果,但又不知道是否生效了,而通过fiddler默认配置又只能看到HTTP状态码,那在Fiddler上能看到请求的服务器IP就更理好了,那接下来介绍一个最简单的办法. 2012.10.31 补充用 最新补充一个更简单的,在CustomRules.js里找到. static function Main() 添加如下一行脚本,解决全部问题: ...
Fiddler抓包系列教程-入门到精通(一)-HTTP和HTTPS基础知识
阿里大叔说测试的博客
11-01 738
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密
Fiddler抓包工具
zcl19971129的博客
09-03 207
序章 Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作。也可以用来检测网络安全。反正好处多多,举之不尽呀!当年学习的时候也蛮费劲,一些蛮实用隐藏的小功能用了之后就忘记了,每次去网站上找也很麻烦,所以搜集各大网络的资料,总结了一些常用的功能。 fiddler的原理 fiddler 调试器注册到操作系统因特网服务,系统所有的网络请求都会走fiddler的代理,所以fiddler才能抓包。 Debug traffic from any client
使用fiddler抓HTTPS包及原理解析
lianup的博客
07-18 8885
网上已经有许多教程了,大部分都差不多,如果是首次安装并且步骤齐全的话,应该是比较容易抓到HTTPS包的。但是我找的教程不全,导致后面踩了很多坑,故记录一下以免后人踩坑。顺便科普了一下HTTPS和中间人攻击,如有误欢迎指出~ 修正:本文的HTTPS握手过程仅为小白科普所用,旨在用最简单的方式描述整个流程,真实场景要更为复杂,大家如果想要了解更多可以查找相关书籍资料哦。 首次装fiddler过程...
中间人攻击(爬虫工具) mitmproxy 使用指南
weixin_34307464的博客
10-14 1735
mitmproxy 是 man-in-the-middle proxy 的简称,译为中间人代理工具,可以用来拦截、修改、保存 HTTP/HTTPS 请求。以命令行终端形式呈现,操作上类似于Vim,同时提供了 mitmweb 插件,是类似于 Chrome 浏览器开发者模式的可视化工具。 它是基于Python开发的开源工具,最重要的是它提供了Python API,你完全可以通过Python代码来控制请...
mitmproxy 中间人代理工具,抓包工具,linux抓包工具 mitmproxy 使用
jast
04-12 3962
mitmproxy是一个支持HTTP和HTTPS的抓包程序,类似Fiddler、Charles的功能,可以在linux以命令行形式的展示抓包信息   mitmdump:它是mitmproxy的命令行接口,利用它我们可以对接Python脚本,用Python实现监听后的处理。   mitmweb:它是一个Web程序,通过它我们可以清楚观察mitmproxy捕获的请求。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值