热门标签
热门文章
- 1神经网络语言模型基本原理和实践_文本向量化的原理
- 2关于Linux中的管道重定向_简述管道重定向的概念
- 3深入浅出完整解析Stable Diffusion(SD)核心基础知识_sd模型训练
- 4PostgreSQL15 16 编译安装+问题解决_pg编译安装
- 5【python】爬取杭州市二手房销售数据做数据分析【附源码】(1)
- 6hive中的lateral view 与 explode函数的使用 行转列_hive:explode和lateral view函数实现行转列
- 7[PyQt5]打开Excel、CSV,tableWidget转换为dataframe,listWidget添加选项,for循环列表推导式--list/dict_pyqt excel
- 8python paramiko连跳板机_proxy_client.connect
- 9一个低代码前端框架,使用JSON配置来生成页面,可以减少开发工作量,提升效率_首页可配置化布局json
- 10Linux 远程管理工具(SecureCRT)_远程crt
当前位置: article > 正文
HTTPS劫持_ssl 劫持
作者:很楠不爱3 | 2024-04-25 01:24:13
赞
踩
ssl 劫持
HTTPS劫持
https劫持分为代理劫持和透明劫持。
一、代理劫持https
这种https代理劫持在我们平时是用的很多的,比如Burp suite和Fiddler启动代理服务器,浏览器配置一个代理就可以抓包进行调试、漏洞测试了。
1.1必备知识
1.1.1 SNI
其中SNI包含了在ClientHello中,在TLS(SSL的升级版)开始支持设置 Server Name(网站的域名)。因为现在一个https服务器可能存在多个域名,而在 TLS 握手信息中并没有携带客户端要访问的目标地址,则无法确定该和那台主机通信,而SNI有目标主机的域名。如下图(1):
图1 SNI图
- 1
1.1.2 Pstream Certificates(上游证书)
当mitmproxy收到发往SSL保护服务的连接时,它会在读取其请求数据之前冻结该连接,并与上游服务器建立连接以“嗅探”其 SSL 证书的内容。获得的信息 Common Name(通用名称)和Subject Alternative Names(主题备用名称)然后用于生成拦截证书&#
推荐阅读
相关标签
