**用的是https抓包是明文傳輸,為什麼能看到https報文的明文?
https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的資料才是經過加密的,而我們捕捉到的http post,是應用層的資料,此時還沒有經過加密。這些明文資訊,其實就是你的本地資料。加密層位於http層(應用層)和tcp層(傳輸層)之間, 所以抓到的http層的資料並沒有加密。 同理, 在後台接收端, 經歷解密後, 到達http層的資料也是明文。 要注意, https不是對http報文進行加密, 而是對業務資料進行加密, 然後用http傳輸。所以需要在客戶端對密碼進行md5加密處理才行。
https抓包的原理就是抓包程式將伺服器返回的證書截獲 ,然後給客戶端返回乙個它自己的證書;https是通過一次非對稱加密演算法(如rsa演算法)進行了協商金鑰的生成與交換,然後在後續通訊過程中就使用協商金鑰進行對稱加密通訊,之所以要使用這兩種加密方式的原因在於非對稱加密計算量較大,如果一直使用非對稱加密來傳輸資料的話,會影響效率。客戶端傳送的資料抓包程式用自己的證書解密,然後再用截獲的證書加密,再發給伺服器 所以你在能看到明文。
密文是針對https兩端以外其他路徑而言,你作為https鏈結的兩端,當然可以看到明文 。
參考:
為什麼要做滲透測試
滲透測試 幾乎每次滲透測試都揭示了重要的安全漏洞 敢說你不需要?除非你沒有 web 應用 摘引至 2019 年 cncert 國家網際網路資訊保安響應中心報告 web 安全刻不容緩 在網路安全的背景下,並不意味著企業應該尋求破解威脅行為者的系統。相 反,它指的是組織需要將滲透測試或具有主動測試形式的...
我們為什麼要做滲透測試
企業在保護關鍵基礎設施的安全計畫中投入了數百萬美元,來找出防護盔甲的縫隙,防止敏感資料外洩。滲透測試是指能夠識別出這些安全計畫中的系統弱點與不足之處的一種最為有效的技術方式。通過嘗試挫敗安全控制實施並繞開安全防禦機制,滲透測試師能夠找出攻擊者可能攻陷企業安全計畫 並對企業帶來嚴重破壞後果的方法。是一...
軟體測試中的抓包?
那我們今天分享主要講的是抓包,fiddler這個工具,開啟之後介面如下圖 至於說裡面哪些功能是常用的,或者說哪些板塊是我們常用的,抓到包之後再來做乙個詳細的介紹。fiddler主要乙個工作就是用來抓包,什麼是包?包,我們又把它叫做資料報,其實就是資料,可以理解為一系列的資料進行打包。它是有一定的規則...