[點晴永久免費OA]攔截請求的那些軟件,例如Fiddler,是怎么解碼https內容的?
當前位置:點晴教程→點晴OA辦公管理信息系統
→『 經驗分享&問題答疑 』
 :攔截請求的那些軟件,例如Fiddler,是怎么解碼https內容的? 不用去關心這些解密/加密的過程,因為 Fiddler 自始至終就沒有參與 “破解” 你的會話(請求),而是 Fiddler “冒充” 了,你與服務端進行通信,同時在服務端的視角里,Fiddler “冒充”了你,這就是常說的 中間人攻擊(MITM)。 當你使用 Fiddler 時,必須要設置一個由 Fiddler 創建的代理,安裝一個證書(對于 HTTPS 而言)。 這個代理的作用毋庸置疑就是用 Fiddler 來轉發你的流量。但是證書就不一樣了,Fiddler 為自己簽發了一張根證書,并且引導你安裝到了你的電腦中,現在 Fiddler ,就可以冒充成任意一個服務端(域名、甚至是 IP)。 現在當你發起一個請求時,實際上是你在請求 Fiddler。因為你安裝了 Fiddler 簽發的證書,所以 Fiddler 可以獲取并解密你的請求。 然后 Fiddler 再把自己偽裝成你,把你發送的參數再發給真正的服務端,這時候你可以把 Fiddler 就看成一個簡單的 cURL 或者 Postman 都可以,他們只是一個請求的工具,他自然可以拿到響應,然后再順帶把響應發給你就行。 而確保 HTTPS 安全最重要的一環就是本地信任的根證書,不要輕易導入不被信任的根證書,因為他可以冒充任何人。 當然,也有預防手段,比如 SSL Pinning,但是瀏覽器內的網頁不能使用,一般用于 App 中。 擴展閱讀: 最后補充一個來自 ChatGPT 的解釋吧。
該文章在 2023/8/28 10:29:16 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
