百度360必应搜狗淘宝本站头条
当前位置:网站首页 > IT知识 > 正文

信息安全之HTTPS协议详解(加密方式、证书原理、中间人攻击 )

liuian 2025-07-10 16:40 3 浏览

HTTPS协议详解

(加密方式、证书原理、中间人攻击)

HTTPS协议的加密方式有哪些?

HTTPS证书的原理是什么?

如何防止中间人攻击?

一:HTTPS基本介绍:

1. HTTPS是什么:

HTTPS 也是一个应用层协议,是在HTTP 协议的基础上引入了一个加密层。HTTP 协议内容都是按照文本的方式明文传输的,这就导致在传输过程中出现一些被篡改的情况。

具体:HPPT + S (SSL/TLS) 这个也是一个应用层协议,专门用来加密。

2.运行商劫持:

由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器、交换机等),那么运营商的网络设备就可以解析出你传输的数据内容,并进行篡改,点击“下载按钮”,其实就是在给服务器发送了一个 HTTP 请求,获取到的 HTTP 响应其实就包含了该 APP 的下载链接。运营商劫持之后,就发现这个请求是要下载天天动听,那么就自动的把交给用户的响应 给篡改成 “QQ浏览器”的下载地址了。

3.运行商为什么要进行劫持?

不止运营商可以劫持,其他黑客也可以用类似的手段进行劫持,以窃取用戶隐私信息或者篡改内容。在互联网上,明文传输是危险的事情。HTTPS 就是在 HTTP 的基础上进行了加密,进一步的来保证用户的信息安全。

4.什么是加密:

加密:就是把明文 (要传输的信息)进行一系列变换, 生成密文 。

解密:就是把密文再进行一系列变换,还原成明文。

二.HTTPS的加密方式:

1.对称加密:

加密和解密使用同一个密钥。

对称加密需要把对称密钥传输给对端,对方才可以根据这个对称密钥,进行加密解密,构造请求和响应也是通过对称密钥加密传输过去。

痛点:对称密钥也是明文传输的,可能被黑客和运营商劫持。对称密钥一旦被黑客和运营商拿到就没有意义了。所以需要引入非对称加密。

2.非对称加密: (服务器会自己生成一对公钥和私钥)

思想:把对称密钥再包一层进行加密传输,黑客要拿到私钥才可以。但是私钥是服务器自己持有不会公开,因此无法通过解密拿到对称密钥。

具体加密方式:

有两个密钥,即公钥和私钥。服务器自动生成的私钥黑客无法获得,只有服务器自己持有,公钥则是公开的,任何人都可以获得。在此,通过公钥给对称密钥进行加密,再通过私钥对公钥进行解密,才可以拿到里面的对称密钥。

注意:这里如果直接全部用非对称加密进行加密,效率会很慢,所以我们都是两个加密方式都采用。

三. 证书原理说明:

1.上述加密方式还不够安全,可能会被“中间人攻击”

说一下中间人攻击:

被入侵的中间运营商设备,会自己生成一对公钥和私钥,在客户端询问服务端时,会把这个 “假公钥” 给客户端,客户端误以为是服务端发来的,就拿着该“假公钥” 将对称密钥进行加密,这样运营商/黑客就拿到了对称密钥。 黑客会继续拿着服务端发来的 “真公钥”加密对称密钥发送给服务器,实现偷梁换柱。

2.校验机制 (证书):

中间人攻击主要是因为客户端区分不了收到的公钥是服务器真实的公钥,还是“假公钥”。

引入校验机制就是来解决这个问题,我们安装fiddler就相当于授权。

3.证书是什么:

证书是第三方机构给服务器颁发的证书,需要服务器就行申请。

4.证书的内容:

(1).服务器的IP地址,域名

(2).服务器的公钥

(3).证书的有效期是多久

(4).证书的有效期是多久

(5).证书的数字签名

5.数字签名:

实际上是一个被加密的校验和,通过这个校验和来让服务器识别 “真公钥” 来防止中间人攻击。第三方机构将这个校验和用自己生成的私钥进行加密,客户端通过第三方机构生成的公钥进行解密获取这个校验和。

6.证书的工作原理:

客户端会向服务器要证书,这个时候客户端就拿到了证书,拿到后会根据自己从服务端拿到的信息“主要是公钥”根据证书中的内容->服务器的IP地址、域名、服务器的公钥等进行计算算出一个校验和,拿着这个校验和与证书上的校验和进行比较。

如果发现校验和,不一样就会报错证书无效。

补充:证书的数字签名中的校验和是通过拿到第三方生成的公钥进行解密拿到的。

相关推荐

2023年最新微信小程序抓包教程(微信小程序 抓包)

声明:本公众号大部分文章来自作者日常学习笔记,部分文章经作者授权及其他公众号白名单转载。未经授权严禁转载。如需转载,请联系开百。请不要利用文章中的相关技术从事非法测试。由此产生的任何不良后果与文...

测试人员必看的软件测试面试文档(软件测试面试怎么说)

前言又到了毕业季,我们将会迎来许多需要面试的小伙伴,在这里呢笔者给从事软件测试的小伙伴准备了一份顶级的面试文档。1、什么是bug?bug由哪些字段(要素)组成?1)将在电脑系统或程序中,隐藏着的...

复活,视频号一键下载,有手就会,长期更新(2023-12-21)

视频号下载的话题,也算是流量密码了。但也是比较麻烦的问题,频频失效不说,使用方法也难以入手。今天,奶酪就来讲讲视频号下载的新方案,更关键的是,它们有手就会有用,最后一个方法万能。实测2023-12-...

新款HTTP代理抓包工具Proxyman(界面美观、功能强大)

不论是普通的前后端开发人员,还是做爬虫、逆向的爬虫工程师和安全逆向工程,必不可少会使用的一种工具就是HTTP抓包工具。说到抓包工具,脱口而出的肯定是浏览器F12开发者调试界面、Charles(青花瓷)...

使用Charles工具对手机进行HTTPS抓包

本次用到的工具:Charles、雷电模拟器。比较常用的抓包工具有fiddler和Charles,今天讲Charles如何对手机端的HTTS包进行抓包。fiddler抓包工具不做讲解,网上有很多fidd...

苹果手机下载 TikTok 旧版本安装包教程

目前苹果手机能在国内免拔卡使用的TikTok版本只有21.1.0版本,而AppStore是高于21.1.0版本,本次教程就是解决如何下载TikTok旧版本安装包。前期准备准备美区...

【0基础学爬虫】爬虫基础之抓包工具的使用

大数据时代,各行各业对数据采集的需求日益增多,网络爬虫的运用也更为广泛,越来越多的人开始学习网络爬虫这项技术,K哥爬虫此前已经推出不少爬虫进阶、逆向相关文章,为实现从易到难全方位覆盖,特设【0基础学爬...

防止应用调试分析IP被扫描加固实战教程

防止应用调试分析IP被扫描加固实战教程一、概述在当今数字化时代,应用程序的安全性已成为开发者关注的焦点。特别是在应用调试过程中,保护应用的网络安全显得尤为重要。为了防止应用调试过程中IP被扫描和潜在的...

一文了解 Telerik Test Studio 测试神器

1.简介TelerikTestStudio(以下称TestStudio)是一个易于使用的自动化测试工具,可用于Web、WPF应用的界面功能测试,也可以用于API测试,以及负载和性能测试。Te...

HLS实战之Wireshark抓包分析(wireshark抓包总结)

0.引言Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接...

信息安全之HTTPS协议详解(加密方式、证书原理、中间人攻击 )

HTTPS协议详解(加密方式、证书原理、中间人攻击)HTTPS协议的加密方式有哪些?HTTPS证书的原理是什么?如何防止中间人攻击?一:HTTPS基本介绍:1.HTTPS是什么:HTTPS也是一个...

Fiddler 怎么抓取手机APP:抖音、小程序、小红书数据接口

使用Fiddler抓取移动应用程序(APP)的数据接口需要进行以下步骤:首先,确保手机与计算机连接在同一网络下。在计算机上安装Fiddler工具,并打开它。将手机的代理设置为Fiddler代理。具体方...

python爬虫教程:教你通过 Fiddler 进行手机抓包

今天要说说怎么在我们的手机抓包有时候我们想对请求的数据或者响应的数据进行篡改怎么做呢?我们经常在用的手机手机里面的数据怎么对它抓包呢?那么...接下来就是学习python的正确姿势我们要用到一款强...

Fiddler入门教程全家桶,建议收藏

学习Fiddler工具之前,我们先了解一下Fiddler工具的特点,Fiddler能做什么?如何使用Fidder捕获数据包、修改请求、模拟客户端向服务端发送请求、实施越权的安全性测试等相关知识。本章节...

fiddler如何抓取https请求实现手机抓包(100%成功解决)

一、HTTP协议和HTTPS协议。(1)HTTPS协议=HTTP协议+SSL协议,默认端口:443(2)HTTP协议(HyperTextTransferProtocol):超文本传输协议。默认...