使用HTTPS的网站也能被黑客监听到数据吗?

2019-10-30 12:55 1608浏览 3回答
使用HTTPS的网站也能被黑客监听到数据吗?:HTTPS不是牢不可破的。使用HTTPS的网站当然也能被黑客监听到数据。我们就以抓取今日头条PC版和APP来演示一下抓取:-https,监听,黑客,网站

转载请联系作者获得授权,并标注“文章作者”。

后发表回答
小苏侃球
1楼 · 2019-10-30 13:52.采纳回答

HTTPS不是牢不可破的。使用HTTPS的网站当然也能被黑客监听到数据。我们就以抓取今日头条PC版和APP来演示一下抓取HTTPS包的方法。

一、电脑浏览器抓包,推荐用chrome浏览器。

我们以抓取以今日头条里的搜索海阳顶端头条号数据为例。用chrome打开然后在搜索框里输入海阳顶端四个汉字。先不要点搜索,按下F12,在右侧面板顶上选中Network,再点击搜索按扭。

你会看到我们已经抓取到了在今日头条上搜索海阳顶端的HTTP数据包。我们这次抓到是GET包,URL是:

如果你直接在浏览器里输入这些,会返回一些JSON数据:

{"message":"success","data":["海阳顶端","海阳顶端黑客教会你","海阳顶端给你准备好了"]}

里边的success,我们还是看得懂的。而且用chrome,无论是http的还是加密的https数据我们都能抓到。

二、手机抓取浏览器数据包,推荐用HttpInterceptor

我们不用网上教程中的burpsuite和fiddler,两个软件不仅全英文的,而且操作也麻烦,需要电脑和手机配合,我们只需一个HttpInterceptor,国人制作,并且只用一个手机就可以。下载地址是装这个软件之前,你需要手机先设定一个锁屏密码。

1、第一次进入程序需要安装CA证书以便进行HTTPS抓包(原理同fiddler,MITM中间人)。现在很多数据包都是https的了,我们必须做这步。安装后程序会让你点击确认按钮,屏幕Toast显示已安装即为成功,可访问进行测试。

2、全局抓包。上边做到的只能抓浏览器的包,要抓APP里的,好比抓今日头条APP的包呢?需要将代理手动修改至127.0.0.1:8888,可抓取别的APP的HTTP数据包。长按已连接的WIFI,修改网络,显示高级选项,修改代理服务器为手动,然后写入代理主机名和端口分别为127.0.0.1:8888。

3、一切修改完成后,我们不要关HttpInterceptor,打开今日头条APP后,随便看一篇文章,就在HttpInterceptor里看到抓取的数据了。 我看的是《如何用域名等资料反查企业信息?海阳顶端黑客教会你》这篇文章,这么好的文章,点击量怎么哪么低。我们点击HttpInterceptor主界面的个向上箭头的圆图标:

选中你抓取数据包的哪条URL,再点预览,就出详细数据包了。把这篇文章的参数看得很清楚啦。

这下子,电脑和手机里的浏览器(包括发送http数据的app)抓包你是不是会了呢?这篇文章本来在我的头条号里,我搬过来回答你一下,欢迎大家关注海阳顶端。

导师
2楼-- · 2019-10-30 13:47

可以,有种方式,第一种是把ssl证书弄到手

第二种详见

Packet Capturs

他的原理是做一个本地的证书,然后在免root拦截监控所有流量,实现抓包的功能

新鲜事
3楼-- · 2019-10-30 13:42

什么是HTTPS:

  HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

  之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么怎么做到的监听HTTPS的数据呢?

答案是绕过HTTPS,采用SSL层剥离的技术,阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信(中间人攻击)。

总结:严格意义上讲,HTTPS是可以被监听到的,但是,HTTPS在传输过程是加密的,即使监听了也是加密数据,意义不大,不排除有牛人掌握加密算法oday或者加密协议oady。

环球网校快问 · 最新文章 · 最新问题
Copy 2018 https://wenda.hqwx.com/ All Rright Reserved. 京ICP备16038139号-3 / Smrz 京ICP备16038139号-3/ 举报电话:400-678-3456 /