防止SSL劫持的终极方法

最新推荐文章于 2024-05-24 10:23:15 发布
最新推荐文章于 2024-05-24 10:23:15 发布
阅读量102 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python
原文链接:http://www.cnblogs.com/liuxinyufx/p/4211996.html
本文介绍了SSL劫持的风险及实例,如ComodoCA和DigiNotarCA被黑客入侵伪造SSL证书,以及法国政府伪造证书劫持Gmail等。提供了一个开源工具来预防SSL劫持,该工具无需删除证书,也不必担心中级CA机构问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

众所周知,我们正处在一个存在着各种诈骗、劫持的网络年代,我们的各种帐号密码很多时候都能很容易地被黑客窃取。由此很多网站使用HTTPS来保护用户的信息不被窃取。而HTTPS本身所使用的SSL协议也并不是完美无缺,即使能确保本机安全,也还存在着各种SSL劫持了,令人防不胜防。影史十大最性感丝袜美腿镜头
  
  曾经发生过并被大众知晓的SSL劫持有:Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、法国政府伪造CA证书用于劫持Gmail等。当然,还有广为流传的CNNIC,虽然并没有被发现进行过SSL劫持,不过鉴于其之前的所作所为,很多人还是很担心某天会针对自己进行劫持,而针对单人的劫持比较难以发现。
  
  所以很多人为了安全起见,将CNNIC的SSL证书标记为不信任,但由此带来了一些问题,比如中国区的战网使用了CNNIC颁发的证书导致无法连接,中国区的Windows Azure也使用了CNNIC颁发的证书导致无法连接等问题。而除了CNNIC,很多人还担心很多中级CA机构会以更隐蔽的方式进行劫持。
  
  鉴于存在着这些问题,那么就需要有相应的解决方法。笔者在这里介绍一个用于预防SSL劫持的开源工具,使用中不存在删除证书的各种问题,也不存在担心中级CA机构的问题。此工具的项目地址为: https://github.com/lehui99/scphcp ,依赖于python,安装python后根据项目主页中的问于答进行操作即可使用。此项目刚开发完成,使用中或许会存在一些问题,如发现问题则欢迎在项目中提Issue,我会尽快进行修复。
  
  使用此工具后只能防止SSL劫持,并不能防止HTTP劫持,比如《电信级的RSA加密后的密码的破解方法》中使用的HTTP劫持无法预防。所以访问重要的网站时需要确保使用的是HTTPS进行访问。
  
  防止SSL劫持的终极方法,再也不用删除CNNIC啦

女性私密部位的标准尺寸数据

 
  
  目前使用此工具需要一定的电脑知识,需要会安装python并设置环境变量并编辑配置文件。笔者会在后续开发中制作一个简易使用的exe版给大家,只需持续关注项目主页即可知道何时发布exe版。

转载于:https://www.cnblogs.com/liuxinyufx/p/4211996.html

HTTPS劫持
weixin_45363315的博客
07-15 3701
HTTPS劫持 https劫持分为代理劫持和透明劫持。 一、代理劫持https 这种https代理劫持在我们平时是用的很多的,比如Burp suite和Fiddler启动代理服务器,浏览器配置一个代理就可以抓包进行调试、漏洞测试了。 1.1必备知识 1.1.1 SNI 其中SNI包含了在ClientHello中,在TLS(SSL的升级版)开始支持设置 Server Name(网站的域名)。因为现在一个https服务器可能存在多个域名,而在 TLS 握手信息中并没有携带客户端要访问的目标地址,则无法确定该和那
分析两种实现SSL会话劫持的典型技术
平凡之路
03-01 5335
分析两种实现SSL会话劫持的典型技术 本文由优快云-蚍蜉撼青松【主页:http://blog.youkuaiyun.com/howeverpf】原创,转载请注明出处!           自SSL问世以来,在其应用范围越来越广泛同时,多种针对SSL协议本身的缺陷或者其不规范引用的SSL会话劫持方法也随之出现,下面将详细分析两种典型的SSL会话劫持的实现原理和实现条件。【读者如果想要参考SSL中间人的实...
【网络安全】——中间人攻击
A1_3_9_7的博客
01-09 5371
中间人攻击(Man-in-the-Middle Attack,简称MITM),是一种会话劫持攻击。攻击者作为中间人,劫持通信双方会话并操纵通信过程,而通信双方并不知情,从而达到窃取信息或冒充访问的目的。中间人攻击是一个统称,具体的攻击方式有很多种,例如Wi-Fi仿冒、邮件劫持、DNS欺骗、SSL劫持等。中间人攻击常用于窃取用户登录凭据、电子邮件和银行账户等个人信息,是对网银、网游、网上交易等在线系统极具破坏性的一种攻击方式。
如何预防自己网站被流量劫持?HTTPS加密是否可行?
qq490801481的博客
04-02 769
SSL协议是用于解决传输层安全问题的网络协议,其核心是基于公钥密码学理论实现了对服务器身份认证、对数据的加密保护以及对数据完整性的校验等功能,确保传输数据的机密性和完整性,以及服务器身份的真实性。域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而不是和目标服务器直接连接,这样攻击者可以对内容进行窃取或篡改。流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗等,很多人已经对此麻木,并认为流量劫持不会造成什么损失。
SSL_TLS安全配置】:在tongweb.xml中安全配置SSL_TLS的终极指南
[【SSL_TLS安全配置】:在tongweb.xml中安全配置SSL_TLS的终极指南](https://pcx3.com/wp-content/uploads/2020/07/image-23.png) # 摘要 SSL/TLS协议是网络安全领域中用于保障数据传输安全的关键技术,它通过加密...
终极收藏」前端开发必备:超全JavaScript公共方法大全
05-24 1105
在前端开发中,JavaScript是必不可少的一部分,而掌握各种常用的公共方法更是提升开发效率和代码质量的关键。无论你是初学者还是资深开发者,了解并熟练运用这些方法都能让你的代码更加简洁、高效。本篇博客将为你详细汇总并解析最全的JavaScript公共方法,涵盖数组、对象、字符串、日期等各个方面的常用技巧。希望通过这篇文章,能为你的前端开发之路提供有力的帮助,成为你开发过程中不可或缺的参考指南。
JSP安全防护手册:防止Web攻击,确保数据安全的终极策略
[JSP安全防护手册:防止Web攻击,确保数据安全的终极策略](https://img-blog.csdnimg.cn/b4621b8550814521a775e866f465aedb.png) # 1. JSP安全防护概览 JSP(Java Server Pages)作为一种成熟的Web应用技术,广泛...
Vue.js网络安全专家指南:防止ERR_CONNECTION_REFUSED错误的终极策略
[Vue.js网络安全专家指南:防止ERR_CONNECTION_REFUSED错误的终极策略](https://cdn.rollbar.com/wp-content/uploads/2023/06/common-website-error-codes.jpg) 参考资源链接:[解决Vue项目...
Https加密及攻防
silk_bar的专栏
04-01 1144
欢迎进入我的博客:blog.scarlettbai.com查看更多文章     最近公司用到了Https,出于好奇,研究了下Https加密过程,现在记录下。    众所周知,Http协议传输数据都是未加密的,因此非常不安全。于是网景公司设计了SSL协议用于对Http传输的内容进行加密,以达到更安全的信息交互效果,首先我们看一张图: 由图中可以看到,TLS/SSL是工作在TCP协议之上的,应用层不再
ssl原理 SSL中间人监测关键技术---SSL会话劫持
空杯心态_虚怀若谷
09-06 564
数据流重定向技术是SSL中间人监测的基础,该技术的使用使得被监测主机与SSL服务器的通信流量都会经过监测主机。对于一般的中间人监测来说,再加上数据转发机制就已经足够。但对于SSL中间人监测来说,仅仅通过数据流重定向得到的都是经过加密后的数据,无法直接用来进行HTTP协议解析。故此必需使用SSL会话劫持技术,才能得到被监测主机与SSL服务器之间通信数据的明文。 自SSL问世以来,在其应用范围越
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5931
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
如何劫持https的请求
缓月
03-19 6137
黑客用自己的证书+自己的域名 证书劫持+用自己的域名 域名劫持+自己的证书 DNS域名劫持+证书劫持 域名入侵 中间人证书欺骗攻击 httpsStrip 黑客用自己的证书+自己的域名 方法描述: 黑客精心做一个类似于qq.com的网站: oq.com, 并且给自己的网站申请https证书。粗心的用户打开这个长得很像qq.com的网站时,看到浏览器中亮起了绿色的小锁,误以为是安全的qq网站。 这...
SSL中间人监测关键技术---SSL会话劫持
chengfangang的专栏
02-25 2455
数据流重定向技术是SSL中间人监测的基础,该技术的使用使得被监测主机与SSL服务器的通信流量都会经过监测主机。对于一般的中间人监测来说,再加上数据转发机制就已经足够。但对于SSL中间人监测来说,仅仅通过数据流重定向得到的都是经过加密后的数据,无法直接用来进行HTTP协议解析。故此必需使用SSL会话劫持技术,才能得到被监测主机与SSL服务器之间通信数据的明文。 自SSL问世以来,在其应用范围越来
HTTPS连接过程以及中间人攻击劫持
热门推荐
我是黄大仙
05-09 1万+
HTTPS连接过程https协议就是http+ssl协议,如下图所示为其连接过程: 1.https请求 客户端向服务端发送https请求; 2.生成公钥和私钥 服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容; 3.返回公钥 服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等; 4.客户端
HTTPS是怎么防止劫持
WLQ0621的博客
01-04 2066
HTTP是明文传输的,如果想密文传输就需要HTTPS(HTTP+SSL),三次握手之后再建立SSL连接。 那么HTTPS是怎么防止劫持的? 在HTTP请求时,常见的劫持有DNS劫持和传输内容被劫持,我们从这两个劫持来看看HTTPS是怎么解决的。 怎么防止DNS劫持 什么是DNS劫持? 比如用户想访问知乎,在浏览器输入如下域名https:// www.zhihu.com要打开这个网站,首先要解析域名www.zhihu.com,结果这个域名被黑客劫持到他的私人服务器1.2.3.4,结果用户的浏览器和黑客的私
摘要算法如何在SSL防止数据被篡改
weixin_40847978的博客
01-09 3615
实际应用中特别在一些安全性要求高的通信场景中往往要保证数据不被篡改.但对于一些信息量大,信息数量多的消息直接进行加密解密过程会严重消耗性能.因此提出消息摘要算法,对消息的摘要进行加解密的性能损耗远小于对消息整体进行加密,并且消息摘要也可以检测消息是否被篡改.目前著名的摘要算法有SHA,MD5等.下文是在SSL通信中如何使用摘要算法防止数据被篡改的简单理解. 1,假设A有一量长消息需要
基于SSLStrip的HTTPS会话劫持
realmeh的专栏
12-29 2382
0 引言 HTTPS作为一种安全的HTTP数据传输协议,被广泛应用于万维网上敏感信息的通信,例如交易支付等方面。然而,HTTPS也存在自身的缺陷,不能绝对保证服务端自身的安全。在网络攻防中,威胁服务器安全的行为时有发生,最常见的例子就是使用模仿银行域名的钓鱼攻击(Phishing)。随着HTTPS的广泛使用,一些新的针对HTTPS会话的劫持也开始出现,如基于中间人攻击的Surf Jacking、
数据安全:通用的数据加密方法(AES、RSA、数字签名和数字证书
weixin_39885962的博客
06-21 9203
在日常的接口交互中,数据的安全性是优先考虑的问题之一。那么一般我们在实际工作中如何去保证数据的安全呢?一般是通过数据加密的方式来处理。加密算法,如果按是否可以把密文还原成明文来划分的话,可以分为可逆加密和不可逆加密。......
ssl 劫持
最新发布
08-01
### 3.2 SSL 劢持的防御方法 为了有效防御 SSL 劢持攻击,应采取以下技术和管理措施: 1. **强制使用 HTTPS**:网站应始终使用 HTTPS 协议进行通信,避免提供 HTTP 服务。可以通过 HTTP 严格传输安全(HSTS)策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值