【前端100問(wèn)】Q91:介紹下 HTTPS 中間人攻擊

寫(xiě)在前面

此系列來(lái)源于開(kāi)源項(xiàng)目:前端 100 問(wèn):能搞懂 80%的請(qǐng)把簡(jiǎn)歷給我
為了備戰(zhàn) 2021 春招
每天一題,督促自己
從多方面多角度總結(jié)答案,豐富知識(shí)
介紹下 HTTPS 中間人攻擊
簡(jiǎn)書(shū)整合地址:前端 100 問(wèn)

正文回答

https協(xié)議由 http + ssl 協(xié)議構(gòu)成,具體的鏈接過(guò)程可參考SSL或TLS握手的概述

中間人攻擊過(guò)程如下:

  1. 服務(wù)器向客戶(hù)端發(fā)送公鑰。
  2. 攻擊者截獲公鑰,保留在自己手上。
  3. 然后攻擊者自己生成一個(gè)【偽造的】公鑰,發(fā)給客戶(hù)端。
  4. 客戶(hù)端收到偽造的公鑰后,生成加密hash值發(fā)給服務(wù)器。
  5. 攻擊者獲得加密hash值,用自己的私鑰解密獲得真秘鑰。
  6. 同時(shí)生成假的加密hash值,發(fā)給服務(wù)器。
  7. 服務(wù)器用私鑰解密獲得假秘鑰。
  8. 服務(wù)器用加秘鑰加密傳輸信息

防范方法:

  • 服務(wù)端在發(fā)送瀏覽器的公鑰中加入CA證書(shū),瀏覽器可以驗(yàn)證CA證書(shū)的有效性
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容