HTTPS 简介
超文本传输安全协议( HTTPS )是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。 HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。
HTTPS攻击主要有两种:中间人劫持攻击和SSLStrip攻击。
中间人劫持攻击:
中间人截取客户端发送给服务器的请求,然后伪装成客户端与服务器进行通信;将服务器返回给客户端的内容发送给客户端,伪装成服务器与客户端进行通信。通过这样的手段,便可以获取客户端和服务器之间通信的所有内容。
使用中间人攻击手段,必须要让客户端信任中间人的证书,如果客户端不信任,则这种攻击手段也无法发挥作用。
1.客户端向服务器发起HTTP连接请求
2.中间人MITM监听客户端与服务器的HTTP数据
3.服务器返回给客户端的HTTP数据包被在客户端与服务器之间的中间人截获。中间人解析原HTTP数据包,将其中<a href=”https://…”>替换成<a href=”http//…”>,将Location:https://…替换成Location:http://..,同时记录下所修改的URL,并保存
4.中间人将修改后的HTTP数据发送给客户端
5.客户端向服务器发起HTTP连接请求
6.中间人计算机解析客户端的HTTP连接请求,并与保存文件相比较。当发现存在有已修改过的HTTP URL时,将其替换成原HTTPS URL,并发送给服务器
7.与服务器保持HTTPS连接,回到步骤3;
8.与客户端保持HTTP连接,回到步骤4。
最后结果是服务器认为HTTPS是安全的。对于客户端而言,由于中间人MITM与客户端Client之间是HTTP连接,因此并不会对证书进行认证。
以下是一些防御措施:
-
安装SSL证书:安装SSL证书可以通过HTTPS建立安全通信。如果安装了SSL证书,则用户可以知道他们正在与网站通信,并且可以检查证书是否有效。这可以防止中间人攻击。
-
使用HTTPS Everywhere插件:HTTPS Everywhere插件可以确保您与网站建立安全的HTTPS连接。它可以检测网站是否支持HTTPS并将您重定向到HTTPS连接。这可以防止SSLStrip攻击。
原文地址:https://blog.csdn.net/dexunjiaqiang/article/details/134588394
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.7code.cn/show_19581.html
如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!
