江苏龙网

  1. 主页 > 生活百科 > >

强 Fiddler抓取HTTPS最全攻略!后悔没有早知道

Fiddler


强 Fiddler抓取HTTPS最全攻略!后悔没有早知道

文章插图
 
对于想抓取HTTPS的测试初学者来说,常用的工具就是fiddler 。
但是初学时,大家对于fiddler如何抓取HTTPS难免走歪路,也许你一步步按着网上的帖子成功了,这自然是极好的 。
但也有可能没那么幸运,这时候你就会很抓狂 。
为此我把一些我自己的安装经验和网络上的教程进行了整合
下面为大家演示如何用fiddler抓取HTTPS的详细教程 。如若失败,请先仔细检查,避免错过细节!然后重新重试!
01
浅谈HTTPS
我们都知道HTTP并非是安全传输,在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的 。目前越来越多的企业选择使用HTTPS协议与用户进行通信,如百度、谷歌等 。HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息 。网上有诸多资料,有些写得过于晦涩难懂,尤其是需要密码学的一些知识 。我做了一下简单的整理,刨除复杂的底层实现,单从理解SSL协议的角度宏观上认识一下HTTPS 。一言以弊之,HTTPS是通过一次非对称加密算法(如RSA算法)进行了协商密钥的生成与交换,然后在后续通信过程中就使用协商密钥进行对称加密通信 。HTTPS协议传输的原理和过程简图如下所示:
强 Fiddler抓取HTTPS最全攻略!后悔没有早知道

文章插图
 
HTTPS协议传输原理
一共有8个步骤,我们针对每一步,具体看看发生了什么事:
【强 Fiddler抓取HTTPS最全攻略!后悔没有早知道】第一步,客户端发起明文请求:将自己支持的一套加密规则、以及一个随机数(Random_C)发送给服务器 。
第二步,服务器初步响应:服务器根据自己支持的加密规则,从客户端发来的请求中选出一组加密算法与HASH算法,生成随机数,并将自己的身份信息以证书(CA)的形式发回给浏览器 。CA证书里面包含了服务器地址,加密公钥,以及证书的颁发机构等信息 。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数(Random_S) 。
第三步,客户端接到服务器的初步响应后做四件事情:
(1)证书校验: 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等) 。
(2)生成密码:浏览器会生成一串随机数的密码(Pre_master),并用CA证书里的公钥加密(enc_pre_master),用于传给服务器 。
(3)计算协商密钥:
此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master,计算得到协商密钥enc_key 。
enc_key=Fuc(random_C, random_S, Pre-Master)
(4)生成握手信息:使用约定好的HASH计算握手消息,并使用协商密钥enc_key及约定好的算法对消息进行加密 。
第四步,客户端将第三步产生的数据发给服务器:
这里要发送的数据有三条:
(1)用公钥加密过的服务器随机数密码enc_pre_master
(2)客户端发给服务器的通知,"以后我们都要用约定好的算法和协商密钥进行通信的哦" 。
(3)客户端加密生成的握手信息 。
第五步,服务器接收客户端发来的数据要做以下四件事情:(1)私钥解密:使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master 。
(2)计算协商密钥:此时服务器已经获取全部的计算协商密钥需要的信息:两个明文随机数 Random_C 和 Random_S 与Pre-master,计算得到协商密钥enc_key 。
enc_key=Fuc(random_C, random_S, Pre-Master)
(3)解密握手消息:使用协商密钥enc_key解密客户端发来的握手消息,并验证HASH是否与客户端发来的一致 。
(4)生成握手消息使用协商密钥enc_key及约定好的算法加密一段握手消息,发送给客户端 。
第六步,服务器将第五步产生的数据发给客户端:
这里要发的数据有两条:
(1)服务器发给客户端的通知,”听你的,以后我们就用约定好的算法和协商密钥进行通信哦“ 。
(2)服务器加密生成的握手信息 。
第七步,客户端拿到握手信息解密,握手结束 。
客户端解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束 。
第八步,正常加密通信
握手成功之后,所有的通信数据将由之前协商密钥enc_key及约定好的算法进行加密解密 。


推荐阅读


上一篇:茶道 恬静 遐想(图

下一篇:茶艺的功能和表现形式介绍