重放攻擊:
重復的會話請求就是重放攻擊。可能是因為用戶重復發起請求,也可能是因為請求被攻擊者獲取,然后重新發給服務器。
重放攻擊的危害:
請求被攻擊者獲取,並重新發送給認證服務器,從而達到認證通過的目的。
我們可以通過加密,簽名的方式防止信息泄露,會話被劫持修改。但這種方式防止不了重放攻擊。
重放攻擊的防御(保證請求一次有效):
HTTPS連接過程(https協議就是http+ssl協議):
中間人攻擊原理:
HTTPS中間人攻擊防御:
SSL會話劫持成功的必要條件:
HTTPS的作用:
1.保密:訪問者的連接被加密,隱藏URL、Cookie和其他敏感元數據。
保證真實性:訪問者是與“真實的”網站發生對話,而不是通過模仿者或者“中間人”進行對話。
2.保證可信性:訪問者和網站之間發送的數據沒有被篡改和修改。
為什么HTTPS仍然會不安全?
加密是發生再應用層和傳輸層之間,在傳輸層看到的數據是經過加密的。加密數據只有在客戶端和服務端才能得到明文,客戶端和服務端的通信過程是安全的。
而在瀏覽器的調試工具里可以看到請求信息,而且還是明文,是因為這里的數據是應用層的,還未經過加密。
HTTPS抓包過程分析(TLS與SSL在傳輸層對網絡連接進行加密):
