Ⅰ 抓包工具(如Charles)抓取Https數據包
1、HTTPS 不是單獨的一個協議,它是 HTTP + SSL/TLS 的組合;
2、TLS 是傳輸層安全性協議,它會對傳輸的 HTTP 數據進行加密,使用非對稱加密和對稱加密的混合方式;
3、抓包工具的原理就是「偽裝「,對客戶端偽裝成伺服器,對伺服器偽裝成客戶端;
4、使用抓包工具抓 HTTPS 包必須要將抓包工具的證書安裝到客戶端本地,並設置信任;
5、HTTPS 數據只是在傳輸時進行了加密,而抓包工具是接收到數據後再重新加密轉發,所以抓包工具抓到的 HTTPS 包可以直接看到明文;
1、HTTPS 的數據是加密的,常規下抓包工具代理請求後抓到的包內容是加密狀態,無法直接查看。但是,正如前文所說,瀏覽器只會提示安全風險,如果用戶授權仍然可以繼續訪問網站,完成請求。因此,只要客戶端是我們自己的終端,我們授權的情況下,便可以組建中間人網路,而抓包工具便是作為中間人的代理。
2、通常HTTPS抓包工具的使用方法是會生成一個證書,用戶需要手動把證書安裝到客戶端中,然後終端發起的所有請求通過該證書完成與抓包工具的交互,然後抓包工具再轉發請求到伺服器,最後把伺服器返回的結果在控制台輸出後再返回給終端,從而完成整個請求的閉環。
HTTPS可以防止用戶在不知情的情況下通信鏈路被監聽,對於主動授信的抓包操作是不提供防護的,因為這個場景用戶是已經對風險知情。要防止被抓包,需要採用應用級的安全防護,例如採用私有的對稱加密,同時做好移動端的防反編譯加固,防止本地演算法被破解。