[點晴永久免費OA]攔截請求的那些軟件,例如Fiddler,是怎么解碼https內(nèi)容的?
 :攔截請求的那些軟件,例如Fiddler,是怎么解碼https內(nèi)容的? 不用去關(guān)心這些解密/加密的過程,因為 Fiddler 自始至終就沒有參與 “破解” 你的會話(請求),而是 Fiddler “冒充” 了,你與服務(wù)端進行通信,同時在服務(wù)端的視角里,F(xiàn)iddler “冒充”了你,這就是常說的 中間人攻擊(MITM)。 當你使用 Fiddler 時,必須要設(shè)置一個由 Fiddler 創(chuàng)建的代理,安裝一個證書(對于 HTTPS 而言)。 這個代理的作用毋庸置疑就是用 Fiddler 來轉(zhuǎn)發(fā)你的流量。但是證書就不一樣了,F(xiàn)iddler 為自己簽發(fā)了一張根證書,并且引導(dǎo)你安裝到了你的電腦中,現(xiàn)在 Fiddler ,就可以冒充成任意一個服務(wù)端(域名、甚至是 IP)。 現(xiàn)在當你發(fā)起一個請求時,實際上是你在請求 Fiddler。因為你安裝了 Fiddler 簽發(fā)的證書,所以 Fiddler 可以獲取并解密你的請求。 然后 Fiddler 再把自己偽裝成你,把你發(fā)送的參數(shù)再發(fā)給真正的服務(wù)端,這時候你可以把 Fiddler 就看成一個簡單的 cURL 或者 Postman 都可以,他們只是一個請求的工具,他自然可以拿到響應(yīng),然后再順帶把響應(yīng)發(fā)給你就行。 而確保 HTTPS 安全最重要的一環(huán)就是本地信任的根證書,不要輕易導(dǎo)入不被信任的根證書,因為他可以冒充任何人。 當然,也有預(yù)防手段,比如 SSL Pinning,但是瀏覽器內(nèi)的網(wǎng)頁不能使用,一般用于 App 中。 擴展閱讀: 最后補充一個來自 ChatGPT 的解釋吧。
該文章在 2023/8/28 10:29:16 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
