从Https破解角度分析Https

最新推荐文章于 2024-04-16 10:48:27 发布
最新推荐文章于 2024-04-16 10:48:27 发布
阅读量1.2k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 其他 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hpc_kiven/article/details/108455834
本文深入探讨了HTTPS的工作原理,包括公私钥、数字证书、会话秘钥和数字签名的角色。通过实例解释了如何防止中间人攻击,并介绍了RSA算法。最后讨论了HTTPS的破解思路,涉及对CA的攻击、大数分解难题以及量子计算的可能性。文章旨在理解HTTPS的安全机制和潜在风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇文章跟大家讨论一个比较有意思的问题:怎么破解https?大家都知道,现在几乎整个互联网都采用了https,不是https的网站某些浏览器还会给出警告。面试中也经常问到https,本文会深入https原理,一直讲到https破解思路。

HTTPS

要想破解https,必须先知道https原理,下面我们先来讲讲https原理。

公私钥

https的公私钥经常在面试中出现,各种面经也会给出答案:https有两个秘钥,公钥和私钥,网站自己持有私钥,用户持有公钥,网站用自己的私钥加密数据发给用户,用户用公钥解密数据。用户要发信息就反过来,用户用公钥加密数据,网站用私钥解密数据。这种加密和解密使用不同秘钥的加密算法叫做非对称加密。这个流程有点绕,下面举例来说明下,假设网站A启用了https,小明要来访问这个网站了(以下例子仅为讲解公私钥用途,并非https真实流程,真实流程是“HTTPS握手流程”一节):

  1. 网站A启用https,自然有一对秘钥,私钥和公钥,私钥他自己藏起来了,公钥任何访问用户都可以拿到
  2. 小明访问网站A,拿到了A的公钥
  3. 小明要给网站A发消息就用公钥给信息加密,然后发给网站A
  4. 网站A拿到密文后,用自己的私钥解密得到消息内容
  5. 网站A要给小明回信,用自己的私钥加密信息,发送给小明
  6. 小明拿到密文后,用自己手上的公钥解密信息

通过上面的流程我们可以看出,由于公钥是公开的,所以网站私钥加密的信息其实所有用户都可以解开。**在这一个阶段,保护的其实是用户发给服务器的数据,因为用户加密的数据必须要服务器的私钥才能解开。**这里大家想一个有意思的问题:既然所有用户都能拿到公钥,那是不是小明加密的信息,小红也能解开呢,因为小红也有公钥啊?如果小红也能解开,那小红只要截获了小明的流量,不就知道内容了吗?这个问题简化一下就是,**公钥加密的信息用同一个公钥能解开吗?答案是不能!**要知道这个原因必须要知道RSA算法,我们后面会讲,先一步步来。

数字证书

前面小明访问网站A的流程是有隐患,可以被攻击的。假设小红是个中间人黑客,现在想攻击小明,她偷偷在小明电脑上做了手脚,将网站A的公钥换成了自己的:

  1. 小明访问网站A,网站A给小明发送公钥,但是这一步被小红攻击了
  2. 小红劫持了小明的流量,将网站A发过来的公钥替换成了自己的公钥
  3. 小明拿到了错误的公钥,用这个公钥加密自己的信息,这个信息可能包含他的用户名,密码等敏感信息
  4. 小明将加密信息发送给网站A,这个流量被小红截获
  5. 因为密文是用小红的公钥加密的,小红用对应的私钥解密,得到小明的密码,攻击完成

可以看到仅仅是公私钥还是不能应对中间人的流量劫持,传

最低0.47元/天 解锁文章

200万优质内容无限畅学
网络攻击之-暴力破解/密码喷射流量告警运营分析
村中少年的专栏
12-29 1741
通过列举SSH,SMB,RDP,MYSQL,PGSQL,Kerberos,NTLM等登录认证的数据包,讲解暴力破解的检测,研判分析以及处置建议等
手把手精通Wireshark:从零抓包到破解HTTPS加密(Windows/Linux/macOS三平台指南)
weixin_69882801的博客
02-20 5130
右键数据包 → Follow → TCP Stream → 显示完整会话内容。官网下载时注意区分「稳定版」与「开发版」适用于无法获取服务器私钥的场景。
RSA初探,聊聊怎么破解HTTPS
dennis_jiang的博客
03-11 773
这篇文章跟大家讨论一个比较有意思的问题:怎么破解https?大家都知道,现在几乎整个互联网都采用了https,不是https的网站某些浏览器还会给出警告。面试中也经常问到https,本文会深入https原理,一直讲到https破解思路。 HTTPS 要想破解https,必须先知道https原理,下面我们先来讲讲https原理。 公私钥 https的公私钥经常在面试中出现,各种面经也会给出答案:ht...
HTTPS双向认证破解抓包
Elm56的博客
01-29 6715
近段时间因为业务需要研究了下 HTTP + TLS的抓包,研究过程挺耗时耗力的,还好最后研究出来了,现在写文章记录一下整个过程。 实验环境为Android+SpringBoot 写的靶机,,生成证书为了简单一律用的jdk自带的Keytool生成,jdk要设置第三方安全库、需要添加bcprov-jdk15on-168.jar到jdk里并做一些设置,网上很多资料我这里就不详细叙述了。下面开始介绍了 #1.先介绍一下Android如何实现的TLS 的 SSL Ping证书绑定及解绑 Android端的证书一般放在
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证)
05-22
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证) 解压密码 qq810285810
突破https——https抓包
热门推荐
燕十二的BLOG
12-10 3万+
加密阶段学习了https原理,现在开始尝试破解,工具主要是burp suite, fiddler/charles与之类似。 一些概念性的东西 中间人攻击 在中间人攻击中,攻击主机通常截断客户端和服务器的加密通信。攻击机以自己的证书替代服务器发给客户端的证书。通常,客户端不会验证该证书,直接接受该证书,从而建立起和攻击机的安全连接。这样,客户端发送的数据,都会被攻击机获取和解密。
charles破解https请求
weixin_30852451的博客
09-20 456
当你的app包从http升级到https的时候,是不是忽然间发现你的请求抓不到了呢?别担心,只是因为你们的app加密升级了,但是我们还是可以正常破解的。接下来直接谈破解步骤啦: 1:首先打开charles,在其主tab栏点击help-->SSL Proxying-->Install Charles Root Cercificate,之后顺序如图所示 如果安装成功之...
人力资源调研报告:从微观角度破解节后“用工荒”难题.docx
11-17
标题中的“从微观角度破解节后‘用工荒’难题”意味着报告将深入剖析个体企业和劳动者之间的关系,揭示问题的根本原因。 【主要知识点】 1. **“用工荒”定义**: “用工荒”是指企业在需要大量劳动力时,却难以...
分析型写作中的常见问题与破解方法.docx
11-15
破解这个问题的方法是找准分析的切入点,对于人物为核心的材料,应重点分析主要人物的行为及其影响;对于事件为核心的材料,需关注事件的本质和道德倾向;对于名言类材料,则需提炼关键词,探讨其背后的深层含义。在...
逆向的角度分析背包数组
最新发布
02-26
从逆向工程的角度分析游戏中的**背包数组**,通常指通过反编译、内存分析或数据破解等手段,研究游戏背包系统的数据结构与逻辑,常见于游戏外挂开发、存档修改或安全防护研究。以下是关键分析方向与步骤: --- ###...
解密https的建立过程
我的专栏
10-28 5030
1. https协议简介      为什么是协议简介呢?因为https涉及的东西实在太多了,尤其是一些加密算法,非常的复杂,对于这些算法面的东西就不去深入研究了,这部分仅仅是梳理一下一些关于https最基本的原理,为后面分解https的连接建立以及https优化等内容打下理论基础。 2. 对称加密算法      对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前
[强烈推荐]HTTP/HTTPS抓包工具 HTTP Analyzer 5.1.1 破解
04-26
HTTP Analyzer 为一款实时分析 HTTP/HTTPS 数据流的工具。它可以实时捕捉HTTP/HTTPS 协议数据,可以显示许多信息(包括:文件头、内容、Cookie、查询字符窜、提交的数据、重定向的URL地址),可以提供缓冲区信息、清理对话内容、 HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。 注册机在附件中,安装后执行,将生成的序列号输入到相应的版本中即可.
https原理:证书传递、验证和数据加密、解密过程解析
11-14
HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的
别以为有https就安全了,这样做支付宝也能轻易被攻破!
qq_36738957的博客
04-05 991
安全问题一直是互联网用户心头的一块大石。很多人将https与安全画上了等号。实则不然,今天,信息安全专家跟大家聊聊https的那些事。 在平时工作和日常生活中, “https=安全”这样的观点在大多数人的思维中根深蒂固,甚至很多人根本不认为自己会被攻击。那这个观点到底对不对呢?难道真的是 too young too simple, sometimes naive么? 本文就逐条分析人们对h
https加密解密过程详解
冷故事的博客
11-17 8485
在日常互联网浏览网页时,我们接触到的大多都是 HTTP 协议,这种协议是未加密,即明文的。这使得 HTTP 协议在传输隐私数据时非常不安全。因此,用于对 HTTP 协议传输进行数据加密,即 HTTPS 。 那么我们再访问https网站时,大家知道https是安全数据加密传输,但是如果让大家仔细描述从访问打开一个网站。到数据整个加解密的流程,估计有很多朋友(可能哈)很难清晰的表达出来吧。 包括我自己描述的也会模拟两可。在此非常有必要详解下整个流程。 要点:   https协议对传输内容进..
https与对称加密和非对称加密算法
银之夏雪的博客
09-02 556
本文参考:https://showme.codes/2017-02-20/understand-https/ 我的理解是https就是在在对称加密不够保险的情况下,外层套了一堆非对称机密算法来保证对称加密算法的那些东西不会被劫持 首先我们来聊一聊为什么要用https? http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重...
三种解密 HTTPS 流量的方法介绍
01-04 3274
Fiddler 这类工具通过往系统导入根证书来实现 HTTPS 流量解密,充当中间人角色。要防范真正的 HTTPS 中间人攻击,网站方需要保管好自己的证书私钥和域名认证信息,为了防范不良 CA 非法向第三方签发自己的网站证书,还要尽可能启用等策略;用户方不要随便信任来历不明的证书,更不要随意导入证书到根证书列表,还要养成经常检查常用网站证书链的习惯。RSA 密钥交换没有前向安全性,这意味着一旦私钥泄漏,之前所有加密流量都可以解开。
HTTPS 加密解密大致流程
小楼一夜听春雨,深巷明朝卖杏花
04-16 1661
在我们开始配置之前,让我们先了解一下HTTPS和它的重要性。
HTTPS 原理分析——带着疑问层层深入
java梦工厂
11-29 543
首发地址 https://blog.leapmie.com/archives/418/ HTTPS 随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等,但对于以下灵魂三拷问可能就答不上了: 为什么用了 HTTPS 就是安全的? HTTP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值