关于Https安全性问题、双向验证防止中间人攻击问题

最新推荐文章于 2025-02-19 15:53:21 发布
最新推荐文章于 2025-02-19 15:53:21 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 计算机网络 密码学 网络安全 文章标签: Https安全 Https双向验证 中间人攻击 网络安全
本文深入探讨了HTTPS的安全机制,解析了为什么HTTPS数据仍可能被截取,并介绍了如何通过HTTPS双向验证来增强安全性,防止中间人攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。

1、Https比Http安全性? 
是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说HTTPS的双向验证)。当然,Https是需要配置CA证书的,一般要从某些机构购买。

2、为何Https依然会被截取? 
目前的一些抓包工具,fiddler、charles使用了叫做man-in-the-middle(中间人)机制:

著作权归作者所有。 商业转载请联系作者获得授权,非商业转载请注明出处。 
作者:连山归藏 
来源:知乎 
第一步, fiddler向服务器发送请求进行握手, 获取到服务器的CA证书, 用根证书公钥进行解密, 验证服务器数据签名,获取到服务器CA证书公钥。 
第二步, fiddler伪造自己的CA证书, 冒充服务器证书传递给客户端浏览器,客户端浏览器做跟fiddler一样的事。 
第三步, 客户端浏览器生成https通信用的对称密钥,用fiddler伪造的证书公钥加密后传递给服务器, 被fiddler截获。 
第四步, fiddler将截获的密文用自己伪造证书的私钥解开,获得https通信用的对称密钥。 
第五步, fiddler将对称密钥用服务器证书公钥加密传递给服务器, 服务器用私钥解开后建立信任,握手完成, 用对称密钥加密消息, 开始通信。 
第六步, fiddler接收到服务器发送的密文, 用对称密钥解开,获得服务器发送的明文。再次加密, 发送给客户端浏览器。 
第七步, 客户端向服务器发送消息, 用对称密钥加密, 被fidller截获后,解密获得明文。 
由于fiddler一直拥有通信用对称密钥, 所以在整个https通信过程中信息对其透明。也就是说fiddler&charles向服务器冒充是客户端,向客户端又谎称自己是服务器。

这就解释了问什么截取到了Https的数据,并且,Https在传输过程加密,所以到了客户端已经不是Https传输加密的范围了

这个时候其实很多人都是这么解决的,对Https数据先自己进行加密(Ex:AES、RSA),再Https传输,

这样即使截取到Https数据,也看不到明文。

那么有没有方式可以不让fiddler&charles这种家伙截取到Https呢?

有,就是Https的双向验证;

3、Https双向验证 
服务器端对请求它的客户端要进行身份验证,客户端对自己所请求的服务器也会做身份验证。

服务端一旦验证到请求自己的客户端为不可信任的,服务端就拒绝继续通信。

客户端如果发现服务端为不可信任的,那么也中止通信。

具体怎么做呢?

首先我们需要服务器端到处证书给我们,拿我公司举例,后台给我一个.cer文件,

我用它导出一个.p12文件,将这两个导入Xcode工程resource目录下: 
这里写图片描述 


接下来,有大致三种方式来进行双向认证: 
(1)用NSURLConnection,需添加俩delegate

- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace{
  return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust];
}
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
    static CFArrayRef certs;
        if (!certs) {
            NSData*certData =[NSData dataWithContentsOfFile:[[NSBundle mainBundle]
                                            pathForResource:@"srca" ofType:@"cer"]];
            SecCertificateRef rootcert
            =SecCertificateCreateWithData(kCFAllocatorDefault,CFBridgingRetain(certData));
            const void *array[1] = { rootcert };
            certs = CFArrayCreate(NULL, array, 1, &kCFTypeArrayCallBacks);
            CFRelease(rootcert);    // for completeness, really does not matter
        }

        SecTrustRef trust = [[challenge protectionSpace] serverTrust];
        int err;
        SecTrustResultType trustResult = 0;
        err = SecTrustSetAnchorCertificates(trust, certs);
        if (err == noErr) {
            err = SecTrustEvaluate(trust,&trustResult);
        }
        CFRelease(trust);
        BOOL trusted = (err == noErr) 
                       && ((trustResult == kSecTrustResultProceed)
                       ||(trustResult == kSecTrustResultConfirm) 
                       || (trustResult == kSecTrustResultUnspecified));

        if (trusted) {
            [challenge.sender useCredential:[NSURLCredential
                         credentialForTrust:challenge.protectionSpace.serverTrust]
                 forAuthenticationChallenge:challenge];
        }else{
            [challenge.sender cancelAuthenticationChallenge:challenge];
        }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36

 
(2)使用AFNetworking

- (void)getNBString:(void(^)(BOOL))completion
{
  SecIdentityRef identity = NULL;
  SecTrustRef trust = NULL;
  NSString *p12 = [[NSBundle mainBundle] pathForResource:@"cc"
                                                  ofType:@"p12"];
  NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];

  [self extractIdentity:&identity 
           andTrust:&trust
         fromPKCS12Data:PKCS12Data];
  NSString *url = [NSString stringWithFormat:@"%@/service/GetAPPValue", kDefaultHost];

  AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
  [manager.requestSerializer setValue:@"1" 
           forHTTPHeaderField:@"Platform"];
  [manager.requestSerializer setValue:kAppId 
           forHTTPHeaderField:@"AppId"];
  [manager.requestSerializer setValue:AppVersion()
                   forHTTPHeaderField:@"AppVersion"];
  [manager.requestSerializer setValue:@"application/json" 
           forHTTPHeaderField:@"Accept"];
  [manager.requestSerializer setValue:@"application/json" 
           forHTTPHeaderField:@"Content-Type"];
  manager.responseSerializer.acceptableContentTypes 
    = [NSSet setWithArray:@[@"application/json", @"text/html"]];
  manager.securityPolicy = [self customSecurityPolicy];

  [manager GET:url parameters:nil progress:^(NSProgress * _Nonnull downloadProgress) {

  } success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
    [HardCodingKeyManager getInstance].nbString = responseObject[@"Data"];
    completion(YES);
  } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
    NSLog(@"%@", error);
    completion(NO);
  }];

}

- (BOOL)extractIdentity:(SecIdentityRef *)outIdentity
               andTrust:(SecTrustRef*)outTrust
         fromPKCS12Data:(NSData *)inPKCS12Data {
  OSStatus securityError = errSecSuccess;

  // 证书密钥
  NSDictionary *optionsDictionary = @{@"testHttps": (__bridge id)kSecImportExportPassphrase};
  CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
  securityError = SecPKCS12Import(
    (__bridge CFDataRef)inPKCS12Data,
    (__bridge CFDictionaryRef)optionsDictionary, &items);

  if (securityError == 0) {
    CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex (items, 0);
    const void *tempIdentity = NULL;
    tempIdentity = 
       CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemIdentity);
    *outIdentity = (SecIdentityRef)tempIdentity;
    const void *tempTrust = NULL;
    tempTrust = 
       CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemTrust);
    *outTrust = (SecTrustRef)tempTrust;
  } else {
    NSLog(@"Failed with error code %d",(int)securityError);
    return NO;
  }
  return YES;
}

// 设置manager的AFSecurityPolicy属性
- (AFSecurityPolicy*)customSecurityPolicy {
  NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ClientC" 
                              ofType:@"cer"];
  NSData *certData = [NSData dataWithContentsOfFile:cerPath];
  AFSecurityPolicy *securityPolicy = 
     [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
  [securityPolicy setAllowInvalidCertificates:NO]; // 记得设置为NO
  NSSet *set = [NSSet setWithArray:@[certData]];
  [securityPolicy setPinnedCertificates:set];
  /**** SSL Pinning ****/
  return securityPolicy;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82


(3)使用ASIHttpRequest 
我们的项目老框架都是这种方式,苦逼的是我试了很多方法,都没有双向认证生效,大家有好方法,可以分享,这里我就不贴了。

当我们配置完毕,使用charles&fiddler检测时,https的接口都不会connect,提示证书不受信任,可能是伪服务器之类的提示,成功。

亲测,即便我们的.p12被人拿到,导入charles&fiddler,作为它们的root certificater,

只要[securityPolicy setAllowInvalidCertificates:NO]; // 记得设置为NO,依然无法connect。

原文地址:http://blog.youkuaiyun.com/u010731949/article/details/50538280

Https简介及单向认证流程和双向认证流程,以及Https中间人攻击”的防范
qq_33101689的博客
04-29 1704
Https简介及单向认证流程和双向认证流程,以及Https中间人攻击”的防范 一. 简介 HTTPS协议 SSL证书 二. 单向认证流程 三. 双向认证流程
HTTPS是如何防范中间人攻击?
最新发布
三木的博客
05-29 181
服务器会向证书颁发机构申请数字证书,证书包含了服务器的公钥和其他相关信息.握手期间客户端接收并验证证书的合法性,校验通过后通过公钥来加密通信数据,并将加密后的数据发送给服务器,由服务器的私钥解密.由于攻击者无法获取服务的私钥,因此无法正确解密客户端发送的加密数据,同时客户端在建立连接时也会验证服务器的证书,验证失败则发出警告或中断连接.中间人攻击在于攻击者冒充服务器与客户端建立连接,并同时与服务器建立连接.https握手期间会通过非对称加密的方式协商出对称加密秘钥。
HTTPS如何防止中间人攻击
精致的灰的博客
07-31 1911
https如何防止中间人攻击
【干货】为什么都跑去用HTTPS了?
XMWS-IT
09-21 529
1. HTTP 协议 在谈论HTTPS协议之前,先来回顾一下 HTTP 协议的概念。 1.1 HTTP 协议介绍 HTTP 协议是一种基于文本的传输协议,它位于 OSI 网络模型中的应用层。 HTTP 协议是通过客户端和服务器的请求应答来进行通讯,目前协议由之前的RFC 2616拆分成立六个单独的协议说明(RFC 7230、RFC 7231、RFC 7232、RFC 7233、RFC 7234、RFC 7235),通讯报文如下: 请求 POSThttp://www.baidu...
HTTPS如何防止数据被中间人攻击
weixin_53767597的博客
02-19 639
HTTPS(超文本传输协议安全)被设计用来防止中间人攻击(MITM),这种攻击指的是攻击者在客户端和服务器之间截获或篡改通信。通过上述机制,HTTPS有效地阻止了中间人攻击。此外,对称和非对称加密的结合使用,在提高通信安全的同时,也保证了通信效率。不过,虽然HTTPS提供了上述多重安全保障,但在某些情况下,如用户忽略了浏览器关于不可信数字证书的警告并继续访问网站时,仍可能受到中间人攻击。因此,用户应保持警惕,谨慎对待浏览器的安全警告,并尽可能使用已经被公认为可信的数字证书机构颁发的证书。
HTTP/HTTPS ⑤-CA证书 || 中间人攻击 || SSL/TLS
Themberfue的博客
01-13 1266
确实可以申请或者伪造,但是证书的内容通常有许多唯一标识,标志着该证书的唯一性,就比如域名,黑客申请的域名的正规服务器的域名肯定不能相同,第三方机构肯定能知道你这个域名冲突了,那如果是黑客自己伪造的证书,这当然不需要通过第三方机构,但这也并不行,因为数字签名是通过第三方机构生成的。然而,服务员偷偷打开信,读了内容,还伪造了一份不同的回复信交给你。,将原始的校验和与客户端新算出的校验和进行比对,如果相同,则表明内容没有被篡改,不存在中间人拦截,如果不同,则表明内容被篡改,存在中间人拦截,立刻停止通信。
【Android】HTTPS中间人攻击”分析与防御
sinat_36955332的博客
11-30 1504
一、HTTPS的作用 1、 认证服务端与服务器,确保相互之间的信任关系。 2、 加密数据,防止泄露。 3、 验证数据完整性,防止篡改。 二、 HTTPS工作原理 我们这里所关注的Https工作原理,主要指的是SSL协议的握手流程; HTTP +加密+认证+完整性保护=HTTPSHTTPS是身披SSL外壳的HTTP;HTTPS并非是应用层的一种新协议,而是HTTP通信接口部分用SSL协议代替,通信时,HTTP先和SSL通信,再由SSL与TCP通信。 HTTPS采用对称加密和非对称加密两种加密机制
前端安全之XSS,CSRF,中间人攻击(MITM攻击),SQL 注入概念详解
qq_43477721的博客
07-01 1486
1. 什么中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”):是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。 概括:请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击 中间人攻击是一个(缺乏)相互认证攻击。占据两个参与者之间的通信通道是中间人攻击的核心。 大多数的加密协议都专门加入了一些特
https是如何保证安全的,又是如何保证不被中间人攻击的?
qq_39279448的博客
02-05 3170
HTTPS通过加密、数据完整性校验和身份认证等技术,极大地提高了互联网通信的安全性。它有效防止中间人攻击,确保了数据在传输过程中的安全性和隐私性。然而,HTTPS并不是万能的,仍然需要配合其他安全措施(如合理的证书管理、强密码策略等)共同保障网络安全
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证)
05-22
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证) 解压密码 qq810285810
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
清晰图解https如何防范中间人攻击
热门推荐
oZhuZhiYuan的博客
06-09 1万+
https/tls原理 HTTPS访问的三个阶段 第一阶段 认证站点 客户端向站点发起HTTPS请求,站点返回数字证书。客户端通过数字证书验证所访问的站点是真实的目标站点。 第二阶段 协商密钥 客户端与站点服务器协商此次会话的对称加密密钥,用于下一阶段的加密传输。 第三阶段 加密传输 客户端与站点直接使用已协商的对称加密密钥传输数据。 以下用一张图描绘CA、站点服务器、客户端之间的交互关系 中间人攻击 中间人攻击的几种形式 直接抓取报文获得明文信息 非法中间加密代理,窃取明文信息
HTTPS 中间人攻击及其防范
weixin_33704591的博客
01-31 636
HTTPS 中间人攻击及其防范 在之前的文章中,笔者简要介绍了一下 HTTPS 的工作原理,在扩展阅读中,笔者提到了中间人攻击(Man In The Middle Attack,简称 MITM)而在本文中,笔者将进一步解释什么是中间人攻击。 什么是中间人攻击 以下内容来自维基百科中的中间人攻击词条: 在密码学和计算机安全领域中,中间人攻击...
网络安全https协议的加密方案避免中间人攻击(MITM攻击)导致的数据泄露风险
2301_79796701的博客
08-06 2428
客户端拿到黑客的公钥M,在本地生成自己的私钥C。用黑客的公钥M加密,然后再向服务器发起请求,黑客很自然的用自己的私钥M*解密,拿到客户端的私钥C,然后用服务端的公钥S加密向服务端发起请求,至此客户端,黑客,服务端都拿到密钥C,客户端和服务端用密钥C进行对称加密通信,但双方并不知道有第三方也拿到了密钥C。客户端在本地生成自己的私钥C,然后用服务端的公钥S加密,即使有中间设备,但该数据包只有服务端的私钥S*解密,私钥C只有客户端和服务端知道,从次双方用私钥C对称加密进行通信,至此通信双方完成密钥协商。
HTTPS——HTTPS如何加密数据,“证书“为什么可以应对 “中间人攻击
The_emperoor_man的博客
07-23 1435
用图文详细讲解了HTTPS中的对称加密,非对称加密,以及证书应对中间人攻击
从fiddler的配置过程中,思考中间人攻击的防范
weixin_42100211的博客
02-16 1650
清晰图解https如何防范中间人攻击 https://blog.youkuaiyun.com/oZhuZhiYuan/article/details/106650944 中间人可以获取站点的证书,但不能获取站点的私钥,所以无法与客户端进行密钥协商。但中间人也不是没有办法,既然获取不到站点的私钥,那索性就不用站点的证书,比如fiddler。 fiddler会使用自己的证书,而不使用站点的证书。这需要用户手动添加并信任fiddler的证书。 Android系统https抓包问题分析 https://www.cnblogs.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值