HTTPS工作原理以及Android中如何防止抓包

最新推荐文章于 2021-12-23 14:48:47 发布
最新推荐文章于 2021-12-23 14:48:47 发布
阅读量1k 收藏 3
点赞数
分类专栏: 网络通信
原文链接:https://juejin.im/post/6844903953411522568#heading-3
版权

HTTPS工作原理以及Android中如何防止抓包

1. HTTPS的定义

说道HTTPS,不得不提HTTP,HTTP最大的缺陷就是明文传输,数据传输过程中很容易被篡改,所以美国网景公司提出来HTTPS协议,相对HTTP,HTTPS多了一个S,这个S,其实就是SSL/TSL,SSL全称安全套接字层,TSL1.0(传输层安全协议)是SSL3.0的升级版,是用于服务器和客户端加密通信的,所以可以认为两者是同一种协议,SSL因为自身的不安全性,在Android8.0已经被弃用了,以上可以看出HTTPS=HTTP+SSL/TLS

2. 工作原理

1.HTTPS发起SSL连接,链接到服务器的443端口

2.服务器向客户端发送公钥和数字证书

3.客户端通过随机算法生成私钥,然后通过服务器公钥对该私钥加密,生成对称密钥

4.客户端向服务器发送对称密钥

5.服务器通过对称密钥对数据进行加密

6.客户端通过对称密钥来对数据解密

 

 

 

那问题来了,在第二步,如果有好事者截获了服务器对客户端发送的公钥,然后伪造成服务器与客户端通信,这可如何是好呢,如何判断该公钥是合法的呢,数字证书就排上用场了

3. 数字证书

数字证书是由CA签发,全世界权威的CA一共100多个,数字证书里包含一对非对称密钥,公钥和私钥以及颁发给、颁发者等信息,里面的公钥对服务器端传输的公钥进行加密,生成密文,然后由客户端的数字证书里的私钥进行解密,从而获得服务器的公钥并确认该公钥是合法的

以浏览器的www.baidu.com为例,通过点击链接旁的锁标志来打开数字证书

 

 

 

 

 

 

 

 

 

证书路径展示的是证书链,根证书的权利最大,依次为根证书>A>B>C,如果www.baidu.com 信任了根证书,则意味着A、B、C都信任

通过详细信息可以看到公钥、公钥参数、证书策略等证书的详细信息 手机作为访问网络的客户端,当然也会有内置证书,以小米手机为例,通过设置-更多设置-系统安全-加密与凭据-信任的凭据来打开内置的CA证书

 

 

系统证书是内置的,个人证书是自定义的,比如charles的抓包证书是放在个人证书下面的,那Android是如何发起HTTPS请求的呢?

 

4. 抓包的原理

平常使用的抓包工具,无论是fidder和charles都能解析客户端和服务器的HTTPS数据,是如何做到的呢?其实抓包工具就充当了一个中间人代理的角色,参照2.https的工具原理,抓包的工作原理如下:

  • 截获客户端向发起的HTTPS请求,佯装客户端,向真实的服务器发起请求
  • 截获真实服务器的返回,佯装真实服务器,向客户端发送数据
  • 获取了用来加密服务器公钥的非对称秘钥和用来加密数据的对称秘钥

5. Android 中使用 HTTPS以及如何防止抓包

Android中如何访问HTTPS呢,其实Retrofit、OkHttp均支持HTTPS的访问 项目中引入网络库,以**implementation 'com.squareup.okhttp3:okhttp:4.2.0'**为例,

final OkHttpClient okHttpClient = new OkHttpClient.Builder().build();
final Request request = new Request.Builder()
        .url("https://www.baidu.com/robots.txt")
        .build();
final Response execute = okHttpClient.newCall(request).execute();
final String bodyStr = execute.body().string();
Log.d(TAG, bodyStr);
复制代码

那如果关闭客户端的CA证书,GlobalSign Root CA-R1,相当于不信任百度服务器的数字证书,会导致报错

Caused by: java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 通过手动将GlobalSign Root CA-R1.cer放入项目中的assets文件夹,则可避免这一错误,如何引用项目中集成的证书呢? 通过

SSLContext sslContext;
        try {
            InputStream inputStream = getAssets().open("");
            sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, new TrustManager[]{OkhttpU.trustManagerForCertificates(inputStream)}, null);
            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            OkHttpClient okHttpClient = new OkHttpClient.Builder().sslSocketFactory(sslSocketFactory, OkhttpU.trustManagerForCertificates(inputStream)).build();
            final Request request = new Request.Builder()
                    .url("https://www.baidu.com/robots.txt")
                    .build();
            final Response execute = okHttpClient.newCall(request).execute();
            final String bodyStr = execute.body().string();
            Log.d(TAG, bodyStr);
        } catch (Exception e) {
            e.printStackTrace();
        }
复制代码
public class OkhttpU {

    public static X509TrustManager trustManagerForCertificates(InputStream in)
            throws GeneralSecurityException {
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        Collection<? extends Certificate> certificates = certificateFactory.generateCertificates(in);
        if (certificates.isEmpty()) {
            throw new IllegalArgumentException("expected non-empty set of trusted certificates");
        }

        // Put the certificates a key store.
        char[] password = "password".toCharArray(); // Any password will work.
        KeyStore keyStore = newEmptyKeyStore(password);
        int index = 0;
        for (Certificate certificate : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificate);
        }

        // Use it to build an X509 trust manager.
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(
                KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, password);
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
                TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
            throw new IllegalStateException("Unexpected default trust managers:"
                    + Arrays.toString(trustManagers));
        }
        return (X509TrustManager) trustManagers[0];
    }

    private static KeyStore newEmptyKeyStore(char[] password) throws GeneralSecurityException {
        try {
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            InputStream in = null; // By convention, 'null' creates an empty key store.
            keyStore.load(in, password);
            return keyStore;
        } catch (IOException e) {
            throw new AssertionError(e);
        }
    }
}

复制代码

就可以正常访问https了

综上,通过引入自定义证书,然后给OkHttp设置sslSocketFactory可以有效的防止抓包,但是.cer放到assets下很容易被反编译,可以通过jdk下的命令keytool -printcert -rfc -file srca.cer导出字符串,然后通过

OkHttpClientManager.getInstance()
                .setCertificates(new Buffer()
                        .writeUtf8(CER_STRING) //CER_STRING是到处的string常量
                        .inputStream());
wuyahui0124505
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
Android开发过程需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
Https原理与分析
weixin_42453582的博客
10-30 527
一、Https 1、实现原理 A、HTTPS 在内容传输的加密上使用的是对称加密,非对称加密只作用在证书验证阶段 B、HTTPS的整体过程分为证书验证和数据传输阶段,具体的交互过程如下: 2、HTTP证书 A、数字证书是Https实现安全传输的基础,它是由权威的CA机构颁发的,证书的主要内容有:公钥(Public Key)、ISSUER(证书的发布机构)、Subject(证书持有者)、证书有效期、签名算法、指纹及指纹算法。 B、证书验证阶段: a.浏览器发起 HTTPS 请求 b.服务端返回 HTTPS
android线上包禁止抓取https
lzq520210的博客
07-28 544
<network-security-config> <base-config cleartextTrafficPermitted="true"/> <!-- Trust user added CAs while debuggable only --> <debug-overrides> <trust-anchors> <!--信任用户安装的证书--> .
面试:HTTPS防止抓包的方法
王温暖的博客
12-23 4123
https 可以抓包HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。 但是,我们可以通过抓包工具来抓包。它的原理其实是模拟一个间人。 通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。 如何防止抓包? 对于HTTPS API接口,如何防止抓包呢?既然问题出
AndroidHttps请求如何防止间人攻击和Charles抓包原理
贵公子丶笔记
04-17 1604
客户端访问https网站 一般有两种方式实现,一是信任所有的证书,也就是跳过证书合法性校验这一步骤,对于这种做法肯定是有风险的;二是校验证书,证书合法才能访问。 第一种方式 :信任所有证书 解决证书不被系统承认的方法,就是跳过系统校验。要跳过系统校验,就不能再使用系统标准的SSLSocketFactory了,需要自定义一个。然后为了在这个自定义的SS...
安卓模拟器防抓包破解
unhejing的博客
08-16 6304
前言:在使用fiddler或者其他抓包工具抓包时,有一些app会出现无法链接网络的情况,但是抓浏览器的包又是可以的,此时需要安装xpose模块进行协助。 流程如下: 一、安装sposed框架 1.安装xpose软件 在模拟器里面直接搜索:xposed安装(我这里使用的雷电模拟器,其他模拟器同理) 安装后截图如下: 2.安装软件后显示xpose框架未安装,需要去下载相关的软件进行安装 下载地址:https://dl-xda.xposed.info/framework 下载的版本比.
如何用Fiddler对Android应用进行抓包
04-24
Fiddler是一款非常流行并且实用的http抓包工具,它的原理是在本机开启了一个http的代理服务器,然后它会转发所有的http请求和响应,因此,它比一般的firebug或者是chrome自带的抓包工具要好用的多。不仅如此,它还...
微信小程序抓包
01-03
至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_...
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
charles抓包工具
04-19
Charles是一款很实用,界面很友好(至少跟fiddler比起来),功能强大的抓包神器,因为它是基于 java 开发的,所以跨平台,Mac、Linux、Windows下都是可以使用的,并且在Android和iOS设备上通用。它的原理是通过成为...
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
pcap包 抓包原理
05-14
pcap包 抓包原理
Python零基础30天速通(小白定制版)(完结)
05-19
宣导片:开启Python进阶之路 30动漫番剧播放量影响因素分析1综合案例 29小红书卖货实力与用户分析1综合案例 28星巴克门店探索|Matplotlib实战 27詹姆斯哈登的制胜宝典1 Panads的使用 26一晚5万的酒店| Numpy的使用 25揭开数据分析的面纱1数据分析"三剑客"概述 24虎牙直播数据告诉你谁最火1案例篇 23我的音乐我做主1数据保存之csv和excel 22电竟| BeautifulSoup解析HTML 21对李焕英的评价1HTML基础 20我的美食我做主1爬虫介绍、requests请 19看我四十二变1内容提取和格式转换 18我的版权我做主1PDF就是这么帅 17婚礼策划师离不开你|亲爱的PPT 16运营部的烦恼1战胜Excel 15Up主的创作之路1 Python与word初次 14你的offer之选|邮件发送 13我的存在只为悦你1 Pillow图片处理 12你喜欢的电竟赛事大全1 Python的文件操作 11哈利波特的魔法棒|模块 10龙珠之赛亚人1面向对象基础 09大吉大利今晚吃鸡1特种兵的战场(项目案
20240519基本完整
05-19
20240519基本完整
MATLAB仿真项目-大数据源码-疲劳检测识别,可应用于疲劳驾驶监测,专注度检测等(高分期末大作业).rar
05-19
本项目提供了一个基于MATLAB的疲劳检测识别仿真系统,旨在帮助计算机相关专业的在校学生、老师和企业员工更好地学习和实践大数据与人工智能技术。该项目可应用于疲劳驾驶监测、专注度检测等领域,具有较高的实用价值。 项目源码已经过运行测试,确保OK,可作为课程设计、毕业设计的优质资源。此外,我们还为您提供了一些网络相关资源,以便您在学习过程进行参考。这些资源将帮助您更好地理解项目的原理和应用。 本项目的源码适用于初学者,即使是编程基础较弱的同学也能快速上手。同时,源码结构清晰,易于理解和修改。您可以在这个基础上进行二次开发,实现更多有趣的功能。 请放心下载使用,我们为您提供了详细的文档说明,以便您更好地了解和使用该项目。希望这个项目能为您提供实质性的帮助,祝您在学习和工作取得更好的成绩!
利用协同过滤算法,基于用户历史订单数据,对店铺的用户和商品进行推荐.zip
最新发布
05-19
协同过滤算法(Collaborative Filtering)是一种经典的推荐算法,其基本原理是“协同大家的反馈、评价和意见,一起对海量的信息进行过滤,从筛选出用户可能感兴趣的信息”。它主要依赖于用户和物品之间的行为关系进行推荐。 协同过滤算法主要分为两类: 基于物品的协同过滤算法:给用户推荐与他之前喜欢的物品相似的物品。 基于用户的协同过滤算法:给用户推荐与他兴趣相似的用户喜欢的物品。 协同过滤算法的优点包括: 无需事先对商品或用户进行分类或标注,适用于各种类型的数据。 算法简单易懂,容易实现和部署。 推荐结果准确性较高,能够为用户提供个性化的推荐服务。 然而,协同过滤算法也存在一些缺点: 对数据量和数据质量要求较高,需要大量的历史数据和较高的数据质量。 容易受到“冷启动”问题的影响,即对新用户或新商品的推荐效果较差。 存在“同质化”问题,即推荐结果容易出现重复或相似的情况。 协同过滤算法在多个场景有广泛的应用,如电商推荐系统、社交网络推荐和视频推荐系统等。在这些场景,协同过滤算法可以根据用户的历史行为数据,推荐与用户兴趣相似的商品、用户或内容,从而提高用户的购买转化率、活跃度和社交体验。 未来,协同过滤算法的发展方向可能是结合其他推荐算法形成混合推荐系统,以充分发挥各算法的优势。
用C#实现人工智能的八数码问题,有界面效果,可以得出结果,也可以逐步求解.zip
05-19
用C#实现人工智能的八数码问题,有界面效果,可以得出结果,也可以逐步求解.zip
Matlab 太阳能电池 simulink 模型太阳能电池模型连接到巴克 converter.by
05-19
Matlab 太阳能电池 simulink 模型太阳能电池模型连接到巴克 converter.by 不同占空比和 PS 转炉值,我们可以改变输出 voltage.buck 转换器调节来自太阳能电池的电压,因而顺利和调节直流电压在负载的忧伤。通过将许多细胞我们可以使太阳能机舱和增加输出电压电流 (串联或并联).zip
npy 文件的基本结构和内容
05-19
npy 文件的基本结构和内容
fiddler抓包工作原理
10-14
Fiddler是一款常用的抓包工具,它的工作原理是通过在本地计算机上创建一个代理服务器,拦截计算机与互联网之间的所有HTTP/HTTPS请求和响应,然后将这些数据进行解析和分析,最终呈现给用户。 具体来说,当用户使用Fiddler进行抓包时,Fiddler会自动将本地计算机的代理设置为127.0.0.1:8888,然后用户在浏览器或其他应用程序发起HTTP/HTTPS请求时,请求会先经过Fiddler代理服务器,Fiddler会将请求拦截下来并记录下请求的详细信息,包括请求头、请求体等。然后Fiddler将请求转发给目标服务器,并记录下服务器返回的响应信息,包括响应头、响应体等。最后Fiddler将请求和响应信息进行解析和分析,并以可视化的方式呈现给用户。 除了抓包功能外,Fiddler还提供了很多其他的功能,比如重放请求、修改请求和响应、自定义规则等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值