HTTPS因为增加了CA证书,可以在会话前通过证书验证证明通信的彼此就是所声称的人,因此可以防范中间人攻击。这种防范中间人攻击的前提是在HTTPs协议的双向认证上。如果仅仅实现了HTTPs的单向认证,如不验证客户端,只验证服务器,这种情况下还是不能抵御中间人攻击的,这种情况下就会出现SSL剥离攻击(SSLTripSSL劫持攻击(使用各种代理软件,如burpsuit或Filder等)。

SSL剥离攻击剥离SSL协议,表现为用户和攻击者之间使用HTTP,攻击者和服务器之间使用https协议。

SSL劫持攻击表现为用户和攻击者之间使用攻击者伪造的CA证书使用其https协议进行通信,(其中重要的步骤是把burpsuit的CA根证书导入用户浏览器,这样用户浏览器就能信任假CA发给中间人的证书(即信任中间人burpsuit),建立客户端和中间人之间的会话信道)。而攻击者和服务器之间使用真正的CA证书创建的对称秘钥进行加密,攻击者收到客户端信息先用前者会话秘钥解密,再使用后者之间的会话秘钥加密。这样使得客户端和服务器都以为是和真正的对方通信。

为了防止SSL剥离攻击,可以(1)在服务器上开启HSTS(HTTP Strict Transport Security, HTTP 严格传输安全),使服务器只接收使用HTTPS的连接。(2)将 HSTS 站点列表内置到浏览器中,这样只要浏览器离线判断该站点启用了 HSTS,就会跳过原先的 HTTP 重定向,直接发起 HTTPS 请求。

为了防止SSL劫持攻击,目前我只能想到使用https双向认证,其他还没想到。

参考文献链接:

1、https://m.sohu.com/a/225905759_505779

2、https://blog.csdn.net/oZhuZhiYuan/article/details/106650944

3、https://blog.csdn.net/minzhimo4854/article/details/88539985?utm_medium=distribute.wap_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.wap_blog_relevant_pic&depth_1-utm_source=distribute.wap_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.wap_blog_relevant_pic

4、https://blog.csdn.net/u010731949/article/details/50538280

5、https://blog.csdn.net/ltx1130/article/details/78302459

6、https://blog.csdn.net/qq_36119192/article/details/84395154?utm_source=app

HTTPS 防范中间人攻击原理相关推荐

  1. https和http有什么差别、如何抓包、中间人攻击原理

    目录 1 HTTPS与HTTP的区别 2 HTTPS的实现原理 2.1 证书验证阶段 2.2 数据传输阶段 2.3 为什么数据传输使用对称协议呢而不直接用非对称加密呢? 2.4 HTTPS怎么加密传输 ...

  2. HTTPS原理和防范中间人攻击

    HTTPS 随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议.大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL .非对称加 ...

  3. 清晰图解https如何防范中间人攻击

    https/tls原理 HTTPS访问的三个阶段 第一阶段 认证站点 客户端向站点发起HTTPS请求,站点返回数字证书.客户端通过数字证书验证所访问的站点是真实的目标站点. 第二阶段 协商密钥 客户端 ...

  4. Arp中间人攻击原理

    1. 实践内容 设计并实现ARP攻击 可以设计并实现其他攻击 2. 实践过程 1) 各部分说明 本机IP地址 本机MAC地址 目标IP地址 网关IP地址 2) ARP协议研究 ARP协议的全称为地址解 ...

  5. 课堂上传纸条如何防范中间人攻击?

    点击上方"朱小厮的博客",选择"设为星标" 后台回复"书",获取 后台回复"k8s",可领取k8s资料 这个我比较有经验 ...

  6. HTTPS中间人攻击实践(原理·实践)

    前言 很早以前看过HTTPS的介绍,并了解过TLS的相关细节,也相信使用HTTPS是相对安全可靠的.直到前段时间在验证https代理通道连接时,搭建了MITM环境,才发现事实并不是我想的那样.由于部分 ...

  7. HTTPS中间人攻击实践(原理·实践) 1

    前言 很早以前看过HTTPS的介绍,并了解过TLS的相关细节,也相信使用HTTPS是相对安全可靠的.直到前段时间在验证https代理通道连接时,搭建了MITM环境,才发现事实并不是我想的那样.由于部分 ...

  8. 面试题目总结(1) https中间人攻击,ConcurrentHashMap的原理 ,serialVersionUID常量,redis单线程,

    1.HTTPS协议中间人攻击是什么? https是 对http内容的加密,中间人攻击是指攻击者通过与客户端和客户端的目标服务器同时建立连接,作为客户端和服务器的桥梁,处理双方的数据,整个会话期间的内容 ...

  9. Https中间人攻击

    Https中间人攻击 https协议由 http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥. 攻击者截获公钥,保留在自己手上. ...

最新文章

  1. 【OO学习】OO第四单元作业总结及OO课程总结
  2. Intelli IDEA导入jar包
  3. 关于腾讯云丢数据事件的一些看法
  4. 基于CSRF的XSS攻击
  5. Python说文解字_Python之多任务_03
  6. 标准化工作导则2020_夯实标准化工作——标准化工作导则GB/T 1.12020培训会在水发兴业能源顺利举办...
  7. 用Python模拟一个区域广播通信网络 2020年4月认证杯数学建模比赛代码
  8. oracle中sqlplus,Oracle sqlplus命令的详细解析
  9. ZTEK串口转USB驱动
  10. SpringBean的生命周期
  11. Word也能制作座位表?掌握这个技巧安排座位不慌乱
  12. html文档字符间距怎么设置,Pages字符间距怎么设置 Pages字符间距设置教程
  13. ACL 2022 | DialogVED:用于对话回复生成的预训练隐变量编码-解码模型
  14. EasyDSS部署在C盘,录像回看无法正常播放该如何解决?
  15. 音视频开发之旅(67) - 变速不变调之sonic源码分析
  16. 【技法操作】PS制作音乐图标,UI设计教程
  17. Windows相册文件批量管理工具
  18. .AI域名价值如何?5G时代投资.AI域名怎么样?
  19. Kerberos认证流程详解
  20. 我的世界java服核心下载_我的世界java版服务器

热门文章

  1. 相亲婚恋交友平台小程序+公众号+app【uniapp+thinkphp】开发功能全开源
  2. 关于 那些年啊 那些事 一个程序员的奋斗史 24提到的鼻炎治疗方法
  3. 用tcgames在电脑上玩荒野行动手机游戏效果比安卓模拟器好太多了
  4. python十大语言_全球十大顶级编程语言,你会选谁?
  5. 小白从零基础到建立网站(Ubuntu、腾讯云)
  6. iOS给View添加虚线边框不显示
  7. 微信小程序下载视频功能
  8. flink连接redis工具类-简单好用
  9. Spring Cloud Config配置文件加解密
  10. 分享ThinVirt云桌面软件实现NVIDIA P40显卡为虚拟机分配vGPU过程