为什么能看到https报文的明文?

最新推荐文章于 2022-08-15 15:15:45 发布
最新推荐文章于 2022-08-15 15:15:45 发布
阅读量2.2k 收藏 3
点赞数 3
分类专栏: 请叫我攻城狮 文章标签: https SSL/TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmflying8177/article/details/100175883
版权

一、问题的提出

昨天发生了一个跟https有关的生产bug。

事后有的小伙伴表示虽然看了一些网上的资料,但是还是不太理解https通讯的全流程,我就用比较通俗的说法给他整体讲了一遍。

然后小伙伴突然问了一个很有意思的问题:既然使用https发送报文,又非对称加密,又对称加密(会话秘钥)的,反正各种加密,那为什么我按个F12还是能看到明文?这密都加到哪儿去了?

这是一个挺好的问题,说明他真的动脑子在想了。

二、网络七层协议

学习过基础网络知识的软件工程师们,应该都了解这个经典的网络七层协议(OSI模型)。

OSI模型

其中的应用层、表示层、会话层有时候也会合并起来简单地表示为“应用层”,变成五层协议。

这五层协议的分工,曾经在知乎上面看到过一个非常通俗形象的总结,借用过来:

  • 买东西时候要封装打包(应用层)
  • 打包后要在包裹上贴快递单(传输层)
  • 在快递单上要写源地址目的地址(网络层)
  • 让快递小哥来取件(数据链路层)
  • 快递小哥骑车送件到收货人(物理层)

原回答地址 作者ID:后生)

三、问题的答案

所谓的 https ,其实就是 http + SSL/TLS 两种协议的合体。

同时,http协议是应用层协议,而SSL/TLS是传输层协议。

那问题的答案就很清晰了,在你能够在浏览器上面查看网页之前,报文经过了你的传输层,SSL/TLS已经对报文进行了解密处理(快递已经开包)。

之后所以不管是在浏览器上呈现,还是你按F12查看源码,都是http协议的事情(快递里面的东西都已经到你手上了,对你而言不会再有啥秘密)。

四、多说几句

现在转行而来的软件工程师和产品设计师的比重在行业内非常高。

对于这一现象我既有正面的看法,不可避免也有负面看法,在这里暂且不提。

但是对于一些只经过了基础编程训练,而缺乏计算机基础知识(各种算法、原理等等)的软件工程师,我经常会劝他们多补补课。

这些基础知识可能在你工作的99%时间里一点作用也起不到,但是它们可以在潜移默化之间提升你能力的天花板,让你解决问题的思路更为广阔。

鲱鱼罐头配白花蛇草水
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HTTP和HTTPS的区别
weixin_43612352的博客
03-13 174
HTTPS是以计算机网络通信安全为通信的协议。 非对称加密 公钥和私钥,性能较低,安全性超强 哈希算法 MD5加密 数字签名 在信息的后面加上一段内容(哈希值) HTTPS 是证书配合各种加密手段的方式 HTTPS在数据传输之前会进行一次握手与web服务器,握手时确定双方的加密信息 用户一般不会输入协议(http/https),当输入www.baidu.com,会通过301...
https抓包为什么能看到明文
chanao9465的博客
08-21 4088
https抓包原理 很多工具可以抓包,我用的是Charles for Mac 可以抓包。 抓手机https包的过程mac要安装证书并设成新人,先把手机局域网设成和MAC一样的,设置代理IP和443端口,然后手机下载证书并安装,同时设置信任。之后Charles就能抓到手机上的网络请求了。 抓包工具伪造了自签名证书之后可以成功抓包,并且抓到的是明文。 加密层位于http层(应用层)和tcp层(传输层)...
为什么站点使用https加密之后还能看到相关数据
weixin_30429201的博客
06-02 642
为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,并且还是明文的?例如说这样: 这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。 加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过...
彻底搞懂HTTPS的加密机制
weixin_33963594的博客
09-05 1768
HTTPSSSL/TLS)的加密机制虽然是个前端后端ios安卓等都应了解的基本问题,但网上的很多HTTPS相关文章也总会忽略一些内容,我学习它的时候也废了挺大功夫。对称加密、非对称加密、数字签名、数字证书等等,在学习过程中,除了了解“它是什么”,你是否有想过“为什么是它”?我认为理解了后者才真正理解了HTTPS的加密机制。本文以问题的形式逐步展开,一步步解开HTTPS的面纱,希望能帮助你彻底搞懂...
为什么用抓包工具看HTTPS包是明文
加油,努力,认真
07-07 2433
测试或者开发调试的过程中,经常会进行抓包分析,并且装上抓包工具的证书就能抓取 HTTPS 的数据包并显示。由此就产生了一个疑问,为什么抓包工具装上证书后就能抓到 HTTPS 的包并显示呢?不是说 HTTPS 是加密传输的吗?今天这篇文章就来探究下上面这个问题,要解释清楚这个问题,我会通过解答以下两个问题来讲述:HTTP 作为一种被广泛使用的传输协议,也存在一些的缺点:为了解决 “明文” 和 “不安全” 两个问题,就产生了 HTTPSHTTPS 不是一种单独的协议,它是由 HTTP + SSL/TLS 组成
为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
热门推荐
认知 行动 坚持
09-23 3万+
在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?         一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https明文密码。         下面, 我们以知乎的登录过程来看看,输入密
http和https的区别?.md
最新发布
03-27
1. 安全性:HTTP协议是明文传输协议,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如银行卡号、密码等。...
wireshark解密SSL报文.docx
08-08
在Wireshark中,捕获的SSL通信报文可以清晰地看到服务器与终端的SSL通信过程,握手->交换证书->协商密钥->应用数据传输。通过Wireshark,可以对SSL通信报文进行解密和分析,定位通信过程中的问题,例如服务器端证书...
java代码-若单码替代密码的替代关系(密钥)如下: 明文:abcdefghijklmnopqrstuvwxyz 密文:mnbvcxzasdfghjklpoiuytrewq 1)请加密报文“This is an easy problem”; 2)解密报文“rmij'u uamu xyj”。
07-15
这意味着,例如,明文中的 'a' 将被替换为 'm','b' 变为 'n',依此类推,形成一个循环替换。 现在,我们需要使用这个密钥来执行两个任务: 1)加密报文"This is an easy problem"; 2)解密报文"rmij'u uamu xyj...
电表拉合闸助手.rar_2007_645-1997_645协议_645测试_电表带明文
07-15
在电力自动化领域,电表拉合闸助手是一款非常实用的工具,它专为支持645-1997和645-2007协议的电表设计,提供了明文拉合闸的测试功能。645协议,全称为《DL/T 645-1997多功能电能表通信协议》和《DL/T 645-2007多...
报文处理软件
08-24
这种方法可以快速改变报文明文形式,增加数据安全性。 2. **加减33和倒序**: 结合这两种操作,可以进一步增强加密效果。先进行倒序排列,然后对每个字符执行加减33操作,使得原始报文更加难以被解析。 3. **和...
密码加密传输
xixingzhe2的博客
08-13 7148
RSA加密
关于客户端通过证书获取https接口数据
sijidechenmo的博客
06-07 4156
刚到新公司报道第一天,上级发给我一个链接,通过curl命令方式获取的数据格式应该是怎样的,然后吩咐我把这个接口通过java 把代码写出来。 其实做技术的都知道,curl说白了就是封装的httpClient模式,所以拿到手之后,满满信心,太简单了吧,结果研究了一天都没有什么结果,其实忽略了https需要证书才可以获取到接口数据,之前也没弄过这块,结果掉大了。 第二天继续研究,不得不说度娘是个好东
查看页面密码框明文密码
hu27
08-16 5697
如何查看密码框明文密码 点击鼠标右键,点击检查,或者按F12 定位密码输入框 修改type 5, 成功显示 此方法几乎适用于所有浏览器,所有网站
接口测试——深入理解HTTPS
测试界的彭于晏的博客
09-09 1049
前言 随着网络安全问题越来越被重视,HTTPS协议的使用已经逐渐主流化。目前的主流站点均已使用了HTTPS协议;比如:百度、淘宝、京东等一二线主站都已经迁移到HTTPS服务之上。而作为测试人员来讲,也要需时俱进对HTTPS协议要有一定的了解,这样就可以更好的帮助我们在工作完成任务和排查问题。 HTTP与TCP 首先,在理解HTTPS之前需要了解HTTP。HTTP(Hyper Text Transfer Protocol)是超文本传输协议,是在互联网上广泛使用的一种信息传输方式,通常浏览器与服务器进行通信使用
秒懂HTTPS接口(原理篇)
Mo小泽的技术博客
12-03 9232
文章目录前言HTTPS简介HTTPS实现原理大致原理技术细节小故事 前言 讲HTTPS之前,我们先来回顾一下HTTP协议。HTTP是一种超文本传输协议,它是无状态的、简单快速的、基于 TCP 的可靠传输协议。 既然 HTTP 协议这么好,那为什么又冒出来了一个 HTTPS 呢?HTTP本身不具备加密的功能,所以也就无法做到对通信整体内容进行加密, 也就是说HTTP是明文传输的,这就造成了很大的安全...
字节一面:HTTPS 会加密 URL 吗?
Park33的博客
08-15 4073
有朋友在面试字节,被问到这个问题:HTTPS 会加密 URL 吗?​答案是,会加密的。因为 URL 的信息都是保存在 HTTP Header 中的,而 HTTPS 是会对 HTTP Header + HTTP Body 整个加密的,所以 URL 自然是会被加密的。下图是 HTTP/1.1 的请求头部,可以看到是包含 URL 信息的。​对应的实际的 HTTP/1.1 的请求头部:​HTTP/1.1 请求的第一行包含请求方法和路径。...
面试管:用了HTTPS就安全了吗?HTTPS 会被抓包吗?
架构文摘
05-23 1586
点击蓝色“架构文摘”关注我哟加个“星标”,每天上午 09:25,干货推送!来源:https://www.cnblogs.com/leap/p/11953836.htmlHTTPS随着 H...
wirsheark解密ssl报文明文
08-24
Wireshark是一款功能强大的网络抓包工具,它可以用来分析和捕获网络数据包。SSL(Secure Sockets Layer)是一种常用的加密协议,用于确保在网络上的数据传输过程中的安全性。 要解密SSL报文明文,首先需要获取目标服务器的私钥。这可以通过多种方式实现,例如,凭借管理员权限从服务器上获取私钥,或者通过社会工程学手段获取私钥的副本。 一旦获得了服务器的私钥,我们就可以使用Wireshark进行解密操作。以下是解密SSL报文的步骤: 1. 打开Wireshark并导入包含SSL报文的数据包文件。 2. 在Wireshark窗口中,选择“Edit”(编辑),然后选择“Preferences”(首选项)。 3. 在弹出的“Preferences”窗口中,选择“Protocols”(协议)。 4. 找到并展开“SSL”协议选项,并选择“RSA keys list”(RSA密钥列表)。 5. 点击“Edit”(编辑)按钮来配置RSA密钥列表。 6. 在“SSL RSA keys”窗口中,点击“+”按钮添加服务器的IP地址和私钥文件路径。 7. 确认配置后,关闭所有配置窗口。 8. 重新打开SSL加密的数据包,Wireshark将自动使用私钥解密SSL报文,解密后的明文将显示在相应的数据包中。 需要注意的是,解密SSL报文涉及到私钥的使用,私钥的保护和安全是至关重要的。任何未经授权的获取私钥都是非法行为,可能引发法律问题。因此,在解密SSL报文之前,请确保您已获得合法的权限或得到相关授权,以遵守法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值