即使是https,移动应用请求也有可能被嗅探吗?
即使是使用HTTPS协议进行通信,移动应用的请求仍然有可能被嗅探。HTTPS协议通过使用SSL/TLS加密通信内容,确保数据在传输过程中的安全性和完整性。然而,嗅探者可以使用中间人攻击等技术手段来窃取HTTPS通信的数据。
中间人攻击是指嗅探者在客户端和服务器之间插入自己的恶意代理服务器,使得客户端与代理服务器建立HTTPS连接,代理服务器再与真正的服务器建立HTTPS连接。这样,嗅探者就可以解密和查看通信内容,然后再将数据转发给真正的服务器,使得通信双方都不知道数据被窃取。
为了防止移动应用请求被嗅探,可以采取以下措施:
- 使用证书校验:移动应用可以在与服务器建立HTTPS连接时,验证服务器的证书是否合法和可信。通过校验证书的有效性,可以防止中间人攻击。
- 使用证书绑定:移动应用可以将服务器的证书与应用程序绑定,确保只有特定的应用程序可以与服务器进行通信。这样即使证书被窃取,其他应用程序也无法使用该证书进行通信。
- 加强应用程序安全性:移动应用可以采取一些安全措施,如代码混淆、反调试、数据加密等,以增加攻击者对应用程序的分析和攻击难度。
- 使用安全的网络环境:在使用移动应用时,尽量避免连接到不安全的公共Wi-Fi网络,因为这些网络容易受到中间人攻击。
总之,尽管HTTPS协议提供了一定的安全性,但仍然存在被嗅探的风险。移动应用开发者和用户都需要采取相应的安全措施,以保护通信数据的安全。
相关·内容
1回答
即使是https,移动应用请求也有可能被嗅探吗?
security、csrf、csrf-protection、owasp、man-in-the-middle
我们正在开发一个混合移动应用程序,对于某些函数调用,有一个名为的url。下面是获取用户信息的示例请求
我们认为“中间人攻击”对此是可能的。移动应用程序调用的url可以被嗅探,然后黑客只需更改用户id的值,然后他就可以看到其他用户的信息。问题是--仅仅改变调用https的url就能解决这个安全缺陷吗?
浏览 27提问于2017-08-08得票数 0
回答已采纳
1回答
为什么HTTP嗅探器不能捕获PHP生成的HTTP流量?
php、http、packet-sniffer
我不明白为什么HTTP (我更喜欢这个,因为它能够解码通过HTTPS传输的SSL编码数据)不能捕获PHP生成的HTTP流量。它捕获除PHP (确实是httpd.exe)以外的每个应用程序的HTTP流量。它甚至捕获mysql-客户端的流量隧道通过HTTP代理,但不能捕获普通PHP的HTTP流量。我尝试了各种HTTP嗅探器,但是结果总是一样的。我的意思是HTTP嗅探器,而不是TCP嗅探器。
有什么想法吗?PHP是否有可能
浏览 0提问于2011-06-09得票数 2
回答已采纳
2回答
将django rest框架API限制为我的移动和web应用程序
django-rest-framework、django-rest-auth
限制我的django rest框架API仅适用于我的移动和web应用程序的推荐方式是什么?我使用django-rest-auth来验证我的用户。有一些API可以匿名访问。但我需要确保所有API都只能通过我的应用程序(移动和网络)使用。
任何帮助/教程都非常感谢。谢谢
浏览 1提问于2015-12-01得票数 5
2回答
HTTPS是否足以避免重播攻击?
api、https
我在一个移动应用程序的服务器上公开了一些REST方法。移动应用程序发送请求用户看到并保存移动刚刚发送的请求。是否足以在HTTPS上保护服务器?
浏览 0提问于2012-07-21得票数 10
回答已采纳
2回答
如何检测请求是否来自移动设备
mobile、request、server、detect
在服务器端,有没有办法检测来自移动设备(来自移动应用)的对API的特定请求?我知道用户代理嗅探,但我不喜欢这个方法,因为有足够多的理由不实现它。我也知道我可以添加一些标志,当它来自我的移动应用程序时,但这似乎也有点脏。实际上,有没有什么“合适”的方法呢?问候,谢谢!汤姆
浏览 0提问于2015-01-06得票数 4
回答已采纳
2回答
既然请求的参数可以被嗅探,那么API密钥在http上是没有价值的吗?
web-services、security、http、api-key
既然请求的参数可以被嗅探,那么API密钥在http上是没有价值的吗?它们只在https上可靠吗?即使这样,你不是依赖于客户端来小心他们的密钥吗?
浏览 2提问于2012-08-30得票数 3
回答已采纳
1回答
通过HTTPS上的cookie实现的会话
tls、cookies、tampering
我刚刚开始学习安全知识,如果这个问题被认为是基本的问题,我很抱歉。
假设我使用的是HTTPS,所以所有cookie数据都是加密的,只有服务器才能用它的私钥解密它。但是,这仍然不能阻止有人嗅探我的流量,并在每个请求的头中看到完全相同的字符串。因此,嗅探流量的人可以发现,每个请求头中的常量字符串可能是一个会话cookie。如果攻击者试图更改请求正文或cookie中的任何字符,则在解密期间它将在服务器上显示为垃圾。然而,即
浏览 0提问于2018-07-08得票数 3
回答已采纳
3回答
制作一个iPhone/Android应用程序,向我的服务器发送用户密码,如何安全?
encryption、hash、mobile
我正在为我的网站制作一个iPhone/Android应用程序,用户已经在该网站上有了一个帐户,该应用程序将允许他们登录。我的网站上没有SSL,但它只是一个评论网站,没有传输任何私人数据,然而,在移动电话上,它似乎更危险,因为移动电话总是使用无线网络。人们有时会在几个网站上使用相同的密码。我想做的是:应用程序对密码进行两次散列,其中两个哈希标识被认为是安全的,然后传输它,至少如果有人嗅探到的数据只能用于我的网站,或者其他使用相同散列技术的网站。
浏览 0提问于2012-08-28得票数 1
1回答
是否可以通过编程重新创建来自数据包的请求?
python、fiddler、sniffing
对于我正在制作的脚本,我需要能够看到与请求一起发送的参数。这是可能的通过Fiddler,但我正在尝试自动化的过程。我试着用下面的代码做一些包嗅探,看看是否能得到类似的结果,但我得到的是第二张图片。results = t.results print(results)据我所知,
浏览 3提问于2020-09-04得票数 2
回答已采纳
1回答
使用python elasticsearch客户端嗅探来解决死TCP连接问题
python、elasticsearch、django-haystack
我的应用程序中的客户端存在连接问题(拒绝连接),因为空闲TCP连接由于防火墙而超时(我无法阻止这种情况)。解决这个问题的最简单的方法是,如果我可以通过定期发送一些数据来防止连接空闲,那么elasticsearch客户机中的嗅探选项似乎是理想的选择,但是它们是。sniffer_timeout -自动嗅探之间的秒数sniff_timeout --用于嗅探<em
浏览 3提问于2016-11-29得票数 4
回答已采纳
1回答
验证和签名HTTP请求
security、http、authentication、encryption
请求包含敏感数据,并将在HTTPS上传递,但我不能假设攻击者在HTTPS加密之前(在客户端被某个非法安装的软件加密)或服务器端(例如,通过位于HTTPS端点和实际服务器之间的嗅探器)无法监听该请求。HTTPS加密/解密处理已传递给外部负载均衡器,因此有一个小窗口供攻击者在负载均衡器和服务器之间插入嗅探器。
我需要确保事务不能被<
浏览 3提问于2016-01-22得票数 11
回答已采纳
1回答
最佳实践:如何保护来自移动应用程序的Http-请求(例如登录)
android、security、mobile
我们有一个web应用程序,它提供了一个简单的“通用Http-Handler”(ASP.NET),为移动应用程序提供了一种简单的获取会话的方法。自动提款机整个概念/应用程序处于演示/阿尔法/测试状态-所以不要恐惧地举起你的手.:)如果移动设备连接到WLAN (因为所需的嗅探-例程非常容易),您可以简单地嗅探请求(获取用户名/密码的值)和/或响
浏览 2提问于2011-05-19得票数 7
回答已采纳
1回答
当我将Azure web应用程序配置到https中时,数据包嗅探器获取所有原始数据。
security、ssl-certificate、azure-web-app-service、packet-sniffers
在将我的Azure web应用程序变成https之后,让我们用加密权限和我的自定义域,我尝试检查所有数据包是否通过网络嗅探扩展加密,然后我得到所有的原始数据。通过添加到chrome的web嗅探器扩展,我获得了所有原始数据:
我希望所有的帖子数据都是由https网站加密的,但似乎我做错了什么或者误解了什么。
浏览 1提问于2019-03-01得票数 0
回答已采纳
2回答
如何使用网络嗅探工具保护公共REST不受攻击者攻击
rest、http、security、reverse-engineering、api-key
我们正在用C++开发一个桌面应用程序,该应用程序将分发给我们的客户。它将通过HTTPS使用REST与服务器进行通信。我们关注网络嗅探软件,比如Wireshark。通过使用这些工具,恶意用户可以记录HTTPS流量,提取请求URL、标头和正文,并使用自动脚本或Postman对后端REST服务器执行请求。我读了一个,它建议应该使用API键来识别请求确实是从C++应用程序发送的。但是,我不明白API密钥如何阻止用户嗅
浏览 17提问于2022-06-27得票数 1
4回答
截获通过蓝牙发送的数据
cryptography、mobile、android、ios、bluetooth
我正试图重写一个最初部署在移动设备上的封闭源代码应用程序,它允许您通过蓝牙命令和控制某种类型的机械机器人。我必须采取的步骤的概要足以回答我的问题。如有详细的答复,将不胜感激。
浏览 0提问于2012-03-12得票数 13
回答已采纳
2回答
简单地说,CSRF令牌可以从服务器的响应中提取出来,除非请求/响应是使用加密传输的。这是否足以让人担心,还是允许CSRF令牌通过明文传输是否合理?在我们的例子中,我们使用的框架提供了每个会话恰好一个CSRF令牌,我们的应用程序有HTTP和HTTPS表单需要保护。我担心的是,攻击者在访问带有表单的HTTP页面时,可能会嗅探CSRF令牌,然后诱使受害者访问恶意HTTPS页面,该页面在我们的应用程序上发布到具有正确CSRF令牌的更为敏感的H
浏览 0提问于2014-04-16得票数 2
回答已采纳
2回答
通过默默无闻的安全性- "https请求“是否安全?
tls、ios、iphone、obfuscation
在使用纯文本(未加密) XML作为http POST请求的内容的iPhone应用程序中,通过https向应用服务器发送请求;如何才能在通过https受保护的通道发送的数据包中发现纯文本XML请求的“格式请注意,攻击者可以访问应用程序,可以使用数据包嗅探器/分析器,但SSL加密不会阻止它们获取数据包的内容吗?他们怎么能克服这个..。
浏览 0提问于2014-11-05得票数 3
回答已采纳
2回答
如何发起https请求和加密POST参数?
ios、api、rest、ios5、https
我已经开发了一个移动应用程序,通过RESTful应用程序接口连接到我的网络服务。我的风险是,如果“某人”获得我的API并更改每个请求的?user_id参数,可能会充当另一个用户,并做一些坏事……
(我不使用Oauth 2.0)
浏览 0提问于2012-04-07得票数 0
回答已采纳
2回答
移动应用程序安全API /auth
api、security、mobile、oauth
我有一个为移动应用程序提供内容的API,目前还没有将该API用于其他产品的计划。我有两个主要问题:
如何防止某人嗅探API请求并发出自己的请求(这不应该是公共API)。如果防止#1是不可能的,那么我如何限制/节流请求从未经批准的消费者?这里还有其他的问题吗?对于每个请求使用auth令牌(作为A GET param传递)满足#2 (我可以在任何时候撤销它),但是我不想在将来使用不同的令牌来更新应用
浏览 5提问于2013-05-03得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
