扯一扯HTTPS单向认证、双向认证、抓包原理、反抓包策略

最新推荐文章于 2024-08-07 01:40:20 发布
最新推荐文章于 2024-08-07 01:40:20 发布
阅读量399 收藏 2
点赞数
分类专栏: 程序员 Android 文章标签: Android HTTPS Android开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44339238/article/details/102550999
版权
本文介绍了HTTPS的单向认证和双向认证机制,包括证书的验证过程,以及HTTPS的抓包原理和反抓包策略,如SSL-Pinning。通过理解这些,可以更好地确保网络安全并防范中间人攻击。
摘要由CSDN通过智能技术生成

HTTP(HyperText Transfer Protocol,超文本传输协议)被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 分层的目的是:分层能够解耦,动态替换层内协议

各个层包含的内容:

应用层:向用户提供应用服务时的通讯活动(ftp,dns,http)
传输层:网络连接中两台计算机的数据传输(tcp、udp)
网络层:处理网络上流动的数据包,通过怎样的传输路径把数据包传送给对方(ip)
数据链路层:与硬件相关的网卡、设备驱动等等

然而HTTP也有以下明显缺点:

  1. 通信使用明文,内容可能被窃听
  2. 不验证通信方的身份,因此有可能遭遇伪装
  3. 无法证明报文的完整性,所以有可能遭到篡改

这样,HTTPS就登场了。HTTPS中的S表示SSL或者TLS,就是在原HTTP的基础上加上一层用于数据加密、解密、身份认证的安全层,即

  • HTTP + 加密 + 认证 + 完整性保护 = HTTPS

加密相关的预备知识:对称加密和非对称加密。

  1. 对称加密 : 加密和解密数据使用同一个密钥。这种加密方式的特点是速度很快,常见对称加密的算法有 AES
最低0.47元/天 解锁文章
Android-until
关注
专栏目录
一扯HTTPS单向认证双向认证抓包原理,目前最稳定和高效的UI适配方案
m0_65320833的博客
01-27 249
然而HTTP也有以下明显缺点: 通信使用明文,内容可能被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能遭到篡改 这样,HTTPS就登场了。HTTPS中的S表示SSL或者TLS,就是在原HTTP的基础上加上一层用于数据加密、解密、身份认证的安全层,即 HTTP + 加密 + 认证 + 完整性保护 = HTTPS 加密相关的预备知识:对称加密和非对称加密。 对称加密 : 加密和解密数据使用同一个密钥。这种加密方式的特点是速度很快,常见对称加密的算法有 AES; 非对称加
HTTPS单向认证双向认证抓包原理抓包策略
a18827547638的博客
04-11 6753
HTTP(HyperText Transfer Protocol,超文本传输协议)被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 分层的目的是:分层能够解耦,动态替换层内协议 各个层包含的内容: 应用层:向用户提供应用服务时的通讯活动(ftp,dns,http)传输层:网络连接中两台计算机的...
python app 抓包_APP爬虫-双向认证抓包的两种方法
weixin_39783149的博客
12-11 1229
APP抓包相对繁琐,越来越多的 APP 在 https 请求和响应时,为了防止中间人攻击(或中间人抓包),会做证书认证,让抓包工具抓不到请求。证书认证单向认证双向认证双向认证是相较于单向认证而言的,单向认证就是只在 APP 侧做证书校验,单向认证有现成的解决方法,比如用各种 bypass ssl 校验的 hook 脚本既可让单向认证失效,例如:JustTrustMe 。如果 APP 的网络请...
安全认证系列-(一)https 单向认证双向认证原理
weinichendian的博客
12-05 1598
最近做CA证书这块功能管理的时候,与PKI证书机构的交互,NGINX单向双向服务配置,从APP端到NGINX到后台已经可以正常的进行安全认证以及数据交互,也基本能理解单向认证双向认证原理。看了好多遍,但是隔几天又忘了,感觉还是没有吃透的样子。让人很难受,我这里再借助一下其他大佬对单向认证双向认证原理的理解,帮自己巩固一下对单向认证双向认证原理的认识。 原理基础 数字证书为发布公钥提供了一...
android单向认证双向认证
倒骑驴走着瞧的博客
03-14 1037
客户端校验服务端需要使用cer证书 服务端校验客户端证书: SSLHelper import java.io.IOException; import java.io.InputStream; import java.security.KeyManagementException; import java.security.KeyStore; import java.security.KeyStor...
TLS单、双向认证资料
11-27
“TLS单、双向认证资料”这一标题提到了两个主要概念:TLS(Transport Layer Security,传输层安全协议)的单向认证双向认证。TLS是互联网上广泛使用的安全协议,用于确保网络通信的安全性,保护数据的隐私和完整...
HTTPS双向认证破解抓包
Elm56的博客
05-18 2972
近段时间因为业务需要研究了下 HTTP + TLS的抓包,研究过程挺耗时耗力的,还好最后研究出来了,现在写文章记录一下整个过程。 实验环境为Android+SpringBoot 写的靶机,,生成证书为了简单一律用的jdk自带的Keytool生成,jdk要设置第三方安全库、需要添加bcprov-jdk15on-168.jar到jdk里并做一些设置,网上很多资料我这里就不详细叙述了。下面开始介绍了 #1.先介绍一下Android如何实现的TLS 的 SSL Ping证书绑定及解绑 Android端的证书一般放在
ssl双向认证单向认证原理
AppFish Studio 的专栏
03-21 1719
有朋友在搞一个项目,周末有聊到一些安全性的东西,很自然会想起https,但https究竟如何实施,其原理又是什么?       基于ssl,一般的应用都是单向认证,如果应用场景要求对客户来源做验证也可以实现成双向认证。      网上google一下:       为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加
基于openssl实现TCP双向认证
CAir2的专栏
04-12 853
TCP实现openssl实现双向认证
Android https抓包证书问题
wangzp的博客
05-09 664
charles 抓包 https问题
Https单向认证双向认证
热门推荐
duanbokan的专栏
03-10 11万+
HTTPS双向认证过程
解决ios的https双向认证不能抓包问题
hqzxsc2006的专栏
08-01 1万+
一般来说,我们抓https包使用fiddler或charles,然后手机安装证书就可以抓包了,但是有时候我们抓某些app时候,一连上代理,却提示不能上网,明明可以上网,为啥app提示无网络,原因可能就是开启了https双向认证,客户端一般使用SSL Pinning防止中间人拦截攻击。我们可以使用ssl-kill-switch2绕过客户端的证书校验,就又可以愉快的抓包了。 ssl-kill-s
突破https——https抓包
燕十二的BLOG
12-10 3万+
加密阶段学习了https原理,现在开始尝试破解,工具主要是burp suite, fiddler/charles与之类似。 一些概念性的东西 中间人攻击 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证书,从而建立起和攻击机的安全连接。这样,客户端发送的数据,都会被攻击机获取和解密。
app逆向抓包技巧:noProxy、vpn、证书单向校验(sslpinning)与双向校验绕过
最新发布
九月镇领将的博客
08-07 1831
app逆向抓包技巧:noProxy、vpn与sslpinning检测绕过
WebSphere HTTPS单向认证配置教程
"WebSphere中配置HTTPS单向认证的详细步骤" 在WebSphere应用服务器中配置HTTPS单向认证,主要用于确保通信数据的安全性,通过SSL(Secure Socket Layer)或其更新版本TLS(Transport Layer Security)协议实现。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值