HTTPS是怎么防止劫持的

最新推荐文章于 2024-06-16 14:47:54 发布
原创 最新推荐文章于 2024-06-16 14:47:54 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络编程

HTTP是明文传输的,如果想密文传输就需要HTTPS(HTTP+SSL),三次握手之后再建立SSL连接。

那么HTTPS是怎么防止劫持的?

在HTTP请求时,常见的劫持有DNS劫持和传输内容被劫持,我们从这两个劫持来看看HTTPS是怎么解决的。

怎么防止DNS劫持

什么是DNS劫持?
比如用户想访问知乎,在浏览器输入如下域名https:// www.zhihu.com要打开这个网站,首先要解析域名www.zhihu.com,结果这个域名被黑客劫持到他的私人服务器1.2.3.4,结果用户的浏览器和黑客的私人服务器1.2.3.4建立SSL连接,黑客的服务器1.2.3.4再和www.zhihu.com建立SSL连接,用户收发的数据都通过黑客的服务器1.2.3.4中转,也就是黑客的服务器1.2.3.4相当于一个https代理服务器,结果用户收发的所有数据,黑客都能看到。

使用HTTPS时能被这样劫持吗?
首先如果黑客要跟用户的浏览器建立SSL连接,那么黑客需要有一个CA证书,而通常系统内置根证书都是大型机构的根证书,几乎无法伪造。如果黑客要假冒其他机构颁发证书,因为没有颁发机构的秘钥,那么这个证书的指纹一定没办法对上,浏览器都会提示证书不安全。
如果非要黑客做一个只能是自签名证书,并且用户自己主动导入该证书。记住,不要随便安装受信任证书,否则HTTPS也帮不了你。

还有人就说了,我可以让用户回落到HTTP协议啊,中间人用HTTPS跟服务器通信,然后用HTTP跟客户端通信——要知道大部分用户在地址栏输入URL时,并没有指定协议的习惯,都是打www开头而不是打https://www开头,能用HTTPS全是Web+Server上80端口301+Location到HTTPS的功劳。
看起来似乎中间人充当了一个替换页面里HTTPS资源到HTTP的反向代理,好像可行性还是很高。
但是只要利用HSTS(HTTP+Strict+Transport+Security,RFC6797)就可以解决这个问题。通过在HTTP+Header中加入Strict-Transport-Security的声明,告诉浏览器在一定时间内必须通过HTTPS协议访问本域名下的资源。
这种情况下,只要用户曾经在安全网络环境下访问过一次某站,中间人在指定时间内也无法让其回落到HTTP。


怎么防止传输内容被劫持

使用HTTPS时能被这样劫持吗?
黑客作为一个中间人,首先没有服务器私钥,所以不能解密客户端发送的内容;其次黑客也没有客户端自己生成的随机密钥串,所以也不能解密客户端发过去的内容的。


总结

1.CA证书保证了公钥的可靠性。
2.服务端私钥+公钥的非对称加解密保证了客户端生成的随机数传输安全,不会被中间人拦截获取。But,非对称加密对服务端开销大。
3.所以利用随机数的对称加密保证后续通讯的安全性,也可以降低服务器的解密开销。
4.HTTPS只针对传输内容进行加密,保证的是客户端和网站之间的信息就算被拦截也无法破解。如果不是全站HTTPS,仅仅只是在登录页采用HTTPS,那些HTTP连接的页面同样是危险的,从HTTP->HTTPS跳转依然可能被劫持。


SSL握手大概流程

1.浏览器将自己支持的一套加密规则发送给网站。
2.网站部署了一组SSL秘钥,分私钥和秘钥。
3.网站从浏览器的加密规则中选出一组加密算法与HASH算法,并将自己的身份信息(公钥)以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
4.获得网站证书之后浏览器要做以下工作:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密。这个加密过程是非对称加密,即公钥加密,私钥解密。私钥只在网站服务器上存储,其他人无法获得这个私钥,也就无法解密。可理解为公钥是锁,私钥是钥匙,客户端将随机数用公钥锁上,经过网络传输到服务器,整个过程就算有人拦截了信息,由于没有私钥解锁,也就无法解密。
过程如下图:
在这里插入图片描述CA证书校验

5.将生成的所有信息发送给网站。

6.网站接收浏览器发来的数据之后,使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。

7.使用密码加密一段握手消息,发送给浏览器。

8.浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

这里浏览器与网站互相发送加密的握手消息并验证,目的是为了保证双方都获得了一致的密码,并且可以正常的加密解密数据,为后续真正数据的传输做一次测试。

备注:非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键,因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥,公钥只能用于加密数据,因此可以随意传输,而网站的私钥用于对数据进行解密,所以网站都会非常小心的保管自己的私钥,防止泄漏。


https流量劫持
煮酒闲谈
01-24 1264
ox10 前言 互联网经过多年的发展,可是网站使用的底层协议仍是 HTTP,HTTP 作为一种明文传播协议,所有的传输数据都是明文,我们都知道在通信中使用明文(不加密) 内容可能会被窃听,同时网站存在被劫持的风险。 目前出现的劫持现象更是五花八门:搜索引擎劫持、网络劫持、浏览器劫持、路由器劫持等常见的网站劫持,面对多种方式的网站劫持,我们应该如何应对? 0x11 限制网站权限 部分网站
HTTPS】运营商劫持、中间人攻击 与 加密
Gmerrysong 的博客
09-21 1608
带你一文彻底搞懂 运营商劫持、中间人攻击 与 加密
如何预服务器IP被劫持,危害有什么?
dexunjiaqiang的博客
01-23 1273
服务器IP被劫持是一种严重的网络安全问题,攻击者通过篡改服务器的IP地址,将网络流量重定向到恶意服务器或网站,导致用户无法正常访问目标服务器,并可能面临数据泄露、恶意软件感染等安全风险。
流量劫持频发,用https解决
cekaogai5015的博客
08-07 244
  相信很多人都遇见过域名没输错,结果却跑到了一个钓鱼网站上这样的情况,用户数据泄露、流量劫持、页面篡改等安全事件频发。  面对这样的情况,使用IIS7网站监控,把域名输入进行检查,看是不是有被劫持DNS污染的情况发现,用此方法进行实时检查是有必要的。  继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、...
HTTPS 能否避免流量劫持
ONE PIECE
10-13 831
近日,看了一篇关于流量劫持的文章《安全科普:流量劫持能有多大危害?》,作者EtherDream以图文并茂的形式详细讲解了流量劫持及相关知识。“在如今这个讲究跨平台、体验好,并有云端支持的年代,WebApp越来越火热。各种应用纷纷移植成网页版,一些甚至替代了客户端。同时,也造就了流量劫持前所未有的势头。”小编总结,这里提到的流量劫持危害,大多跟Http明文传输协议的薄弱有关系。 我们来
如何防止路由器被劫持 防止路由器被劫持方法【详情】.docx
11-24
本文将详细介绍如何防止路由器被劫持,确保网络安全。 首先,修改路由器的默认用户名和密码是至关重要的。大多数路由器出厂时的管理员账户默认为“admin”,这给黑客提供了方便之门。为了避免这种情况,你应该立即...
https可否有效应对dns劫持、http内容劫持
拾忆的博客
06-16 5553
前言        近期客户端为了缩包,对很多项目进行了h5化相关的工作,但在上线后发现有部分内容被http内容劫持,具体现象就是部分页面被植入广告,由于之前大多采用http协议,被劫持肯定是束手无策,因此准备切换协议,而https多了关于域名证书验证与交互数据加密的步骤,之前也有对过https交互原理以及Charles抓包工具的原理做过相关学习总结,详见 https原理初探。        https是建立于http的基础上,
如何防止路由器被劫持路由器劫持的八大方法介绍
10-01
近段时间不断有媒体曝光路由器容易...最近又有网友曝WIFI存安全漏洞,一旦被蹭网,路由器被劫持,那么为了避免用户安全风险,笔者教大家如何防止路由器被劫持,其中只要做好安全护,就可以有效的避免路由器遭受劫持
防止Edge劫持IE浏览器
03-08
退出杀毒软件,右键管理员权限执行《防止edge劫持ie浏览器.exe》,可多执行几次,资源管理器会自动重启, C:\Windows\System32查看ieframe.dll修改日期是否是2023年。如未自动替换成功, 用压缩包中ieframe.dll替换C...
黑色浏览器 防止网页劫持
08-13
【标题】:“黑色浏览器 防止网页劫持”指的是这款浏览器软件采用了特定的设计和功能,旨在保护用户免受网页劫持的困扰。网页劫持通常是指恶意软件或不法分子通过各种手段篡改用户的浏览体验,比如强制重定向到钓鱼...
https 能否避免流量劫持
SSL加密技术
03-30 434
http,一个使用了 20 多年的老协议。如今,网页技术有了长足的进步和发展,http 也开始逐渐被 https 取代,在 http 中,很容易受到网络攻击,特别是流量劫持,对广大网民造成了严重的损失。把 http 换成 https 会安全吗?还会不会发生流量劫持的情况? https 能否避免流量劫持? 可以!但是,必须使用可信SSL证书。 与简单的 http 代理不同的是,https 服务需要由权威的CA颁发的SSL证书才能生效。自签式证书浏览器不认可,并且会给出严重的警告提示。而且遇到“这个网站的
Https能避免流量劫持吗?
weixin_33991418的博客
06-19 559
答案是能!但前提是必须用受信任的SSL证书。 不同于简单的Http代理,HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了伪证书HTTPS流量因此遭到劫持。 如果重要的账户网站遇到这种情况,无论如何都不该点击继续。 这里所说的权威CA机构是指已经通过Web...
如何预网站http劫持问题?
cenbu4734的博客
08-19 1712
  如何检测网站劫持?  IIS7网站监控  检测网站是否被劫持DNS污染检测、网站打开速度检测等信息。  如何范HTTP劫持呢?  根据对抗HTTP劫持的时机来分类,可以主要分为三类  事前加密  事中规避  事后屏蔽  那么接下来,让我们一个个的来说  事前加密  HTTPS  很大一部分HTTP劫持,主要的原因就是在传输数据时都是明文的,使用了HTTPS后,会在HTTP协议之上加上TLS...
如何应用HTTPDNS及全站HTTPS协议避免域名被劫持
weixin_33728268的博客
06-17 347
域名对于公司重要吗?毋庸置疑的当然是很重要,域名就相当于一个门牌号,如果您去拜访别人,不知道门牌,是不是很耽误事呢?那么域名被劫持的可能性有哪几种呢?1.运营商劫持,运营商在基础网络层面的对域名的劫持,主要是一个单方的县级或者市级,不会是针对所有地区。运营商为了减少跨ISP的流量结算,会在本网内缓存ICP的内容,广告联盟等甚至也会劫持域名替换广告,劫持域名解析是安全上的一大隐...
怎么防止http劫持问题?
a20405010505的博客
09-16 1479
  如何知道http被劫持?  iis7网站监控  检测网站是否被劫持DNS污染检测、网站打开速度检测等信息。  基于 HTTP 的流量劫持,大家应该是比较熟悉了。特别是对于 Web 前端,一般大家说起流量劫持,首先能想到的就是这种。原理上我就不多介绍了,基本上就是因为 HTTP 属于明文协议,中间链路上的任意设备,都可以篡改内容,导致流量劫持。  HTTPS劫持治  HTTP...
一文看懂https如何保证数据传输的安全性的
qq_44005305的博客
02-25 391
大家都知道,在客户端与服务器数据传输的过程中,http协议的传输是不安全的,也就是一般情况下http是明文传输的。但https协议的数据传输是安全的,也就是说https数据的传输是经过加密。在客户端与服务器这两个完全没有见过面的陌生人交流中,https是如何保证数据传输的安全性的呢?下面我将带大家一步步了解https是如何加密才得以保证数据传输的安全性的。我们先把客户端称为小客,服务器称为小服。
关于HTTP劫持,该如何理解、范和应对
dexunyun的博客
06-16 5159
HTTP劫持(HTTP Hijacking)是一种网络安全威胁,它发生在HTTP通信过程中,攻击者试图通过拦截、篡改或监控用户与服务器之间的数据流量,以达到窃取敏感信息或执行恶意操作的目的。今天我们就来详细了解HTTP劫持的原理、危害以及范和应对措施。
http网站怎么配置https劫持
sevn77777的博客
11-23 1149
HTTPS相比HTTP,在请求开始之前增加了握手的环节,在进行SSL握手时,客户端浏览器会对服务器的身份进行验证,这是通过SSL证书来实现的,SSL证书是由第三方权威机构CA颁发,通俗一点来说就是网站的“身份证”,浏览器需要对“身份证”进行验证来确认服务器的身份,确认证书是否属于目标网站、确认证书是否有受信任机构所颁发等。在握手环节的最后,客户端和服务器还会协商出一个用于加密和解密的通讯密钥。 如何解决网站http被劫持的问题 获取HTTPS证书: ①、搜索“蜗牛证书”,或者直接打开链接:h.
https 是否真的安全,https攻击该如何护,https可以被抓包吗?如何防止呢?
a38417的博客
11-26 1944
相信大多程序员已经对这种算法很熟悉了:我们提交代码到github的时候,就可以使用SSH key:在本地生成私钥和公钥,私钥放在本地.ssh目录中,公钥放在github网站上,这样每次提交代码,不用麻烦的输入用户名和密码了,github会根据网站上存储的公钥来识别我们的身份。HTTPS 使用了 SSL 加密协议,是一种非常安全的机制,目前并没有方法直接对这个协议进行攻击,一般都是在建立 SSL 连接时,拦截客户端的请求,利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥;
android webview防止劫持
最新发布
03-27
Android开发中,WebView是一个常用的组件,用于加载网页内容。然而,在网络通信过程中,如果安全措施不足,可能会导致数据被劫持、篡改或遭受中间人攻击等问题。为了有效防止WebView的内容被劫持,可以采取以下几种常见策略: ### 1. **启用SSL/TLS加密** - 确保网站使用的是HTTPS协议,并验证证书的有效性。 - WebView默认会处理部分SSL错误(如过期证书),但这可能导致安全隐患。通过自定义`onReceivedSslError()`方法禁用对SSL错误的忽略行为。 ```java webView.setWebChromeClient(new WebChromeClient() { @Override public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) { // 阻止访问未认证的安全站点 handler.cancel(); } }); ``` ### 2. **禁止JavaScript跨域请求** - 如果不需要JavaScript交互,则应关闭JavaScript支持;若需要开启也务必限制其权限范围。 ```java if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.KITKAT){ WebView.setWebContentsDebuggingEnabled(false); } WebSettings settings = webView.getSettings(); settings.setJavaScriptEnabled(true); // 按需设置为false settings.setAllowFileAccess(false); // 禁止文件系统访问 ``` ### 3. **检测URL合法性** - 在每次页面跳转前都检查目标链接是否合法可信,避免用户点击恶意钓鱼地址而泄露信息。 ```java webView.setWebViewClient(new WebViewClient(){ @Override public boolean shouldOverrideUrlLoading(WebView view, String url){ try { URI uri = new URI(url); if (!"https".equals(uri.getScheme()) || !isValidDomain(uri.getHost())){ return true; // 中断加载非法网址 } } catch (URISyntaxException e) {} return false; } private boolean isValidDomain(String host){/*...*/} }); ``` ### 4. **应用级护机制** - 对敏感操作加入额外校验步骤比如二次确认弹窗等提高安全性; - 定期更新依赖库修复已知漏洞保持最新状态减少风险暴露窗口期。 综上所述,合理配置和管理好Android WebView的各项功能选项对于保障用户体验同时降低潜在威胁至关重要。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值