Charles使用代理方式截获https的原理分析

最新推荐文章于 2022-11-08 08:30:00 发布
最新推荐文章于 2022-11-08 08:30:00 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: 计算机网络 文章标签: ssl 服务器 工具 解密 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyongbluesky/article/details/6965772
版权

最近在使用Charles工具来辅助解决自动化办公方面的问题,在使用的时候发现他能够截获https中的信息,亲们,而且是明文信息,我们知道明文信息都是通过会话双方协商好的 对称密钥来完成的,而这个密钥按理第三方是没有方面获得的(因为这是一个协商过程,有非对称密钥的保护),然后Charles工具可以获得明文,说明他已经获得了对称密钥,这是为什么呢????

知识预备:代理方面的知识大家要先看一下,然后分析如下:

首先分析SSL握手的建立过程,对称密钥是不应该被其他中间人(第三人)获知。

然后分析Charles使用的代理。对于一般的http代理是将本地客户端的请求先发给代理,然后由代理向服务器发请求,代理接受到回复后,将其再转发给客户端。

注意:这里面有一个问题就是本地客户端什么时候将请求发给代理??http是应用层的协议,我们知道代理是需要端口的,所以猜测应该是在运输层(在此处就是TCP方式)将其发给代理,这个步骤很关键,因为SSL在协议栈中的位置的问题。

 

最后分析一下https使用代理的情况。首先本地客户端发出https请求,由于在转发前要经过SSL层所以客户端段与代理之间先建立一个https连接,代理获得请求(解密)后,代理与目标服务器之间又建立一个https连接。

zhangyongbluesky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
今天get到的charles来了解一下嘛
qq_45866847的博客
12-02 653
charles一、Charles原理1.1、Charles原理1.2:总结:二、charles的安装三、charles的证书下载(web)3.1.1:为什么下载charlesssl证书3.2.16:验证是否可以获取web端的https接口四、charles的功能操作4.1:断点调试 一、Charles原理 1.1、Charles原理 1.客户端向服务器发起HTTPS请求 2.Charles拦截客户端的请求,伪装成客户端向服务器进行请求 3.服务器向“客户端”(实际上是Charles)返回服务器
Charles代理
留着鼻涕敲代码
01-01 1297
Charles中文名叫青花瓷,他是一款基于HTTP协议的代理服务器,然后截取请求结果达到分析抓包的目的。
Charles原理 以及 抓取WEB HTTPS 并操作
weixin_45281475的博客
12-01 756
Charles原理 客户端向服务器发起HTTPS请求 Charles拦截客户端的请求,伪装成客户端向服务器进行请求 服务器向“客户端”(实际上是Charles)返回服务器的CA证书 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。(这一步,Charles拿到了服务器证书的公钥) 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(Charles) Charles拦截客户端的响应
什么是Charles工作原理是什么
weixin_53368860的博客
07-07 534
什么是Charles Charles中文名字青花瓷,是一款Http代理服务器和Http监视器,当移动端在无线网连接中按要求设置好代理服务器,使所有对网络的请求都经过Charles客户端来转发时,Charles可以监控这个客户端各个程序所有连接互联网的Http通信。 特点:跨平台、半免费 免费版本:一是启动等待十秒才能启动,二是半小时重启一次 Charles工作原理 原理 截获真实客户端的HTTPS请求,伪装客户端向真实服务端发送HTTPS请求 接受真实服务器响应,用Charles自己的证书伪装服务端向.
浅谈Charles抓取HTTPS通信内容原理
时有限
04-23 219
问题 最近对http通信及https通信有点兴趣,但是因为https的不透明性,因此想了解其内容有点麻烦,但是既然是客户端->服务端之间加密, 我自己是客户端就肯定可以获取到通信内容,不然浏览器也不会能显示。两款常用的分析https通信内容的软件就是Charles和Fiddler, 两者都差不多都是作为中间人代理通信,所以通信内容对齐透明。 原理 在关于HTTPS,你需要知道的全部中,分析HTTPS的安全通信过程,知道了HTTPS可以有效防止中间人攻击。但用过抓包工具的人都知道,比如Charles
移动端代理抓包工具charles4.2.5
07-08
charles4.2.5可以简单配置,进行http和SSL代理,实现对移动端的网络请求监控,特别适合移动端的开发和测试人员使用
Charles 4.6.1 代理抓包工具
05-24
含破解,覆盖charles.jar即可
charles 代理软件
05-18
charles 代理工具,可以用来抓包,拦截请求等,附件里附有破解工具
解决Charles抓包https时,无法查看CONNECT请求的问题
08-28
下面小编就为大家分享一篇解决Charles抓包https时,无法查看CONNECT请求的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
配置Charles抓取https请(web+app)
11-30
基于windows平台配置Charles抓取https请求,包含web+app,因为配置过程较为复杂,所以以文档方式分享,有需要的童鞋自取
使用Charles截获http/https请求
weixin_34415923的博客
07-01 98
2019独角兽企业重金招聘Python工程师标准>>> ...
charles使用
sheep0924的博客
09-02 3526
一、charles原理 1.1:Charles原理 客户端向服务器发起HTTPS请求 Charles拦截客户端的请求,伪装成客户端向服务器进行请求 服务器向“客户端”(实际上是Charles)返回服务器的CA证书 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(CharlesCharles拦截客户端的.
Charles(1) 请求转发
郑清
12-23 2674
一、前言 本文将基于Charles进行请求转发,主要是将线上环境的api请求转发到本地方便开发进行测试 也可通过其它方式实现,ex: nginx配置引流测试 Charles下载地址: https://www.charlesproxy.com/download/ 二、请求转发 这里举例线上环境地址 http://www.zhengqingya.com 在线上访问数据之后,Charles中会记录api请求 在需要进行转发的api请求上右击选择Map Remote... 配置转发到本地的路径 然后再访
Charles 抓包工具教程(一) Charles的安装、代理配置及组件介绍
雨水的早晨的博客
11-08 4175
Charles 抓包工具的安装,以及代理的相关配置
Charles配置代理以及简单使用
热门推荐
lydms的博客
05-30 2万+
文章目录一、简介1、概念2、工作原理3、主要功能4、优点5、Charles组件介绍二、初始化安装(MacOS)1、Charles安装2、配置代理(获取Http)2.1 代理设置2.2 获取本机IP2.4 访问控制2.5 设置Mac电脑代理2.6 http校验3、配置Https3.1 安装SSL证书3.2 配置SSL代理3.3 结果验证三、Charles使用1、流量配置2、断点配置3、断点调试 一、简介 1、概念 charles中文名叫青花瓷,它是一款基于HTTP协议的代理服务器,通过成为电脑或者浏览器的
测试工具Charles(十)—— 端口转发
卖女孩的小火柴
08-22 816
端口转发(Port forwarding)是安全壳(SSH) 为网络安全通信使用的一种方法,有时也被称为隧道。 端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为,其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址(局域网内部)上的一个端口。 Edit Port Forwarding视图中的选项含义: Protocol:协议 Start port:开始端口 End port:结束端口 Remote host:远程主机 Remote port:远程端口 Listen
charls的讲解
qq_44684379的博客
05-18 2796
charles讲解 一、charles原理 1.charles原理 客户端向服务器发起HTTPS请求 Charles拦截客户端的请求,伪装成客户端向服务器进行请求 服务器向“客户端”(实际上是Charles)返回服务器的CA证书 Charles拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,将服务器证书替换后发送给客户端。 客户端接收到“服务器”(实际上是Charles)的证书后,生成一个对称密钥,用Charles的公钥加密,发送给“服务器”(CharlesCharles
http调试工具Charles Proxy用法详解
sxjing11的博客
07-14 1万+
Charles Proxy 通常称为CharlesCharles是目前最强大的http调试工具,在界面和功能上远强于Fiddler,同时是全平台支持,堪称圣杯级工具,不过在这里为您提供了Charles和谐版,欢迎下载使用! 软件名称: Charles 软件版本: 3.11 b4 软件大小: 60 MB 软件授权: 和谐版本 适用平
(一)Charles Proxy代理使用简要介绍
wudinaniya的博客
12-19 9521
1.去官网下载免费试用版: http://www.charlesproxy.com/ (需要机器有java运行时)或下载破解注册版:http://charles.iiilab.com/,安装后开启默认代理端口为 本机IP:8888 , 比如: 192.168.43.120:8888 2.手机端http代理设置 iPhone代理设置: 设置 -> 无线局域网 -> 当前连接的wifi 最
charles移动端抓包配置代理无法使用网络
最新发布
07-27
您好!对于Charles移动端抓包配置代理无法使用网络的问题,可能有几个原因导致。以下是一些常见的解决方法: 1. 确保设备和Charles所在的计算机在同一个局域网下,并且能够相互访问。您可以尝试通过在设备上访问Charles所在计算机的IP地址来验证网络连接是否正常。 2. 在设备的网络设置中配置代理。在移动设备的Wi-Fi设置中,找到当前连接的Wi-Fi网络,点击进入高级设置(或代理设置),选择手动配置代理,并输入Charles所在计算机的IP地址和端口号(默认为8888)。 3. 在Charles中启用SSL代理功能。打开Charles软件,转到“Proxy”菜单,选择“SSL Proxying Settings”,确保“Enable SSL Proxying”选项已勾选,并添加需要抓包的域名或IP地址。 4. 在移动设备上安装CharlesSSL证书。在Charles软件中,转到“Help”菜单,选择“SSL Proxying”下的“Install Charles Root Certificate on a Mobile Device or Remote Browser”选项。根据提示,将证书发送到您的设备并安装。 5. 确保移动应用程序的网络请求正常。有些应用程序可能会使用自定义的网络请求库或者HTTPS证书固定功能,需要进行额外的配置才能与Charles正常通信。您可以尝试使用其他应用程序进行测试,或者查看应用程序的开发文档了解是否需要进行特殊配置。 如果以上方法仍然不能解决问题,可以尝试重启设备、重启Charles、更新Charles版本或者尝试其他抓包工具进行测试。希望这些解决方法能对您有所帮助!如果您还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值