https抓包为什么能看到明文?-创新互联
https抓包原理
目前创新互联已为近千家的企业提供了网站建设、域名、网站空间、网站托管、服务器租用、企业网站设计、君山网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。很多工具可以抓包,我用的是Charles for Mac 可以抓包。
抓手机https包的过程
mac要安装证书并设成新人,先把手机局域网设成和MAC一样的,设置代理IP和443端口,然后手机下载证书并安装,同时设置信任。之后Charles就能抓到手机上的网络请求了。
抓包工具伪造了自签名证书之后可以成功抓包,并且抓到的是明文。
加密层位于http层(应用层)和tcp层(传输层)之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。所以需要在客户端对密码进行MD5加密处理才行。
https抓包的原理就是抓包程序将服务器返回的证书截获 ,然后给客户端返回一个它自己的证书;
客户端发送的数据抓包程序用自己的证书解密,然后再用截获的证书加密,再发给服务器 所以你在能看到明文。
密文是针对https两端以外其他路径而言,你作为https链接的两端,当然可以看到明文 。
HTTPS是通过一次非对称加密算法(如RSA算法)进行了协商密钥的生成与交换,然后在后续通信过程中就使用协商密钥进行对称加密通信,之所以要使用这两种加密方式的原因在于非对称加密计算量较大,如果一直使用非对称加密来传输数据的话,会影响效率。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
文章标题:https抓包为什么能看到明文?-创新互联
链接分享:http://myzitong.com/article/dddijc.html