展开

关键词

APP Https向认证抓包

在一次测试中偶然遇到一个https向认证的手机app(fiddler抓包提示需要提供客户端证书),平时一梭子能搞定地抓包姿势没有效果了,本着所有客户端发出的数据都是操控的想法,决定搞一搞,无非是采用什么方式的问题 向认证只要拿到客户端加密的私钥证书就行了。很不巧,手机app被加壳了,基本上告别动态调试的方式。 ?在assets目录下发现了用于向认证的证书库文件,如下:? 关键代码在函数m8196a中,具体代码如下:(因为没有写过相关向认证和keystore的相关代码,只能通过java api 文档查查函数说明,补充了注释) String str = X509; String 误以为已经搞定了向认证,打开了burpsuite导入证书:?Pkcs12格式,暴露了我对证书相关格式的盲区,google告诉我用keytool可以进行证书格式的转换,如下:?Emmmm? 证书库可能有什么问题 网上找了httpsURLConnection类的https的实现demo——几乎完全一致。

2.2K11

浅谈https中的向认证

总述https简单来说就是在http协议的基础上增加了一层安全协议。通常为TLS或者SSL(一般现在都采用TLS,更加安全)。这一层安全协议的最主要的作用有两个:1. 验证服务端或客户端的合法性2. 商量出最终用来http通信的对称加密秘钥本次仅仅讲第1点----单向认证与向认证所谓的认证既确认对方身份,单向认证一般是指客户端确认服务端身份,向认证则是指在客户端需要确认服务端身份的同时,服务端也需要确认客户端的身份 向认证?----show me the code这里给出在使用httpClient的时候如何初始化连接池。 String keyStorePath; ** * ssl向认证客户端keystore的秘钥 * private String storePwd; ** * ssl向认证客户端私钥证书密码 * private RegistryBuilder. create() .register(http, PlainConnectionSocketFactory.getSocketFactory()) .register(https

15030
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    一文读懂Https的安全性原理、数字证书、单认证、认证等

    下面将通过以下几节内容来学习HTTPS:1)HTTPS概述;2)HTTPS实现原理;3)数字证书;4)Https认证;5)Https向认证。 6、HTTPS认证所谓单认证只要服务端配置证书,客户端在请求服务端时验证服务器的证书即可。我们上述讲到的内容其实都是说的HTTPS认证。 通常来说对于安全性要求不高的网站单认证就可以满足我们的需求了。因此我们访问的HTTPS网站大部分都是单认证。 7、HTTPS向认证对于HTTPS向认证,用到的情况不多。但是对于像金融行业等对安全性要求较高的企业,通常都会使用向认证。所谓向认证就是客户端校验服务器证书,同时服务器也需要校验客户端的证书。 那么向认证则保证了我们的客户端只能访问我们自己的服务器,同时我们的服务器也只能被我们自己的客户端访问。因此向认证可以说相比单认证安全性足足提高一个等级。

    1.2K20

    NGINX 配置本地HTTPS(向认证)

    单向认证 Https在建立Socket连接之前,需要进行握手,具体过程如下: ?1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。  向认证 向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下: ?1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。  ssl_certificate_key etcnginxkeysserver.key;#配置秘钥位置        ssl_client_certificate etcnginxkeysca.crt;#向认证         ssl_verify_client on; #向认证        ssl_session_timeout 5m;        ssl_protocols SSLv2 SSLv3 TLSv1 就可以使用了,默认443端口四、验证浏览器测试使用https访问页面https:192.168.0.162展开,点击继续效果如下:提示需要证书才行,说明向认证是正常的!

    99830

    HTTPS 原理剖析与目场景

    最近手头有两个目,XX导航和XX产业平台,都需要使用HTTPS协议,因此,这次对HTTPS协议做一次整理与分享。为什么使用HTTPSHTTP 协议,本身是明文传输的,没有经过任何安全处理。 为了解决这三大风险,HTTPS的价值就体现出来了。内容加密,第三方无法窃听。身份认证,一旦被篡改,通信方会立刻发现。数据完整性。防止内容冒充或者篡改。 以上就是整个HTTPS的交互过程,大家是不是对整个流程有了比较大致的了解了呢。HTTPS的相关场景真实业务场景是复杂的,这里,整理3个目中遇到的比较复杂的应用场景。 HTTPS设计上的借鉴对于HTTPS设计上的方案,对于我们而言,有什么可以借鉴的地方么?答案是肯定的:有。一个非常典型的方案就是RSA向认证。 例如,支付宝的支付接口就是非常典型的RSA向认证的安全方案。此外,我们之前的教育资源、敏感验证码出于安全性考虑都借鉴了这个方案。

    38210

    通过CURL请求示例详解HTTPS协议

    基于HTTPS通信是当前互联网最通用便捷的通信方式,简单理解来看可以视为HTTP协议 + SSLTLS协议,通过一个curl的示例阐述一下HTTPS协议。 客户端向服务端索要并验证公钥方生成“对话密钥”方采用对话密钥加密通信curl分析HTTPS请求时间HTTPs耗时 = TCP握手 + SSL握手, 因为涉及到一些加密,及多了几次握手交互,可以看到的时要多于平常时间的 curl分析HTTPS请求过程curl –trace 命令 可以记录请求的详情,我们就用它来了解一下https整个过程,命令如下:客户端请求ClientHello客户端主要向服务器提供以下信息:1. 编码改变通知,表示随后的信息都将用方商定的加密方法和密钥发送。客户端握手结束通知,表示客户端的握手阶段已经结束。这一同时也是前面发送的所有内容的hash值,用来供服务器校验。 服务器的最后回应编码改变通知,表示随后的信息都将用方商定的加密方法和密钥发送。服务器握手结束通知,表示服务器的握手阶段已经结束。这一同时也是前面发送的所有内容的hash值,用来供客户端校验。

    662100

    etcd 启用 https

    简单说就是单向认证只是客户端对服务端的身份进行验证,向认证是客户端和服务端互相进行身份认证。 而向认证是服务端也需要对客户端做出认证。因为大部分 kubernetes 基于内网部署,而内网应该都会采用私有 IP 地址通讯,权威 CA 好像只能签署域名证书,对于签署到 IP 可能无法实现。 以下步骤遵循官方文档:1, 生成 TLS 秘钥对生成步骤:1,下载 cfssl2,初始化证书颁发机构3,配置 CA 选4,生成服务器端证书5,生成对等证书6,生成客户端证书想深入了解 HTTPS 的看这里 :聊聊HTTPS和SSLTLS协议数字证书CA及扫盲互联网加密及OpenSSL介绍和简单使用SSL向认证和单向认证的区别1,下载 cfsslmkdir ~bincurl -s -L -o ~bincfssl 3,配置 CA 选$ cat ca-config.json { signing: { default: { expiry: 43800h }, profiles: { server: { expiry

    1.2K10

    SSL证书配置(https访问接口, 单向认证和向认证)

    (1) 直接配置在目上面 (2) 配置在目启动所依赖的tomcat上 (3) 配置在nginx上( 单向认证, 向认证, 多域名认证) … … 而这里则主要介绍了两种配置方式, 第一种是在目中直接配置 SpringBoots目配置https访问接口(直接配置)SSL证书, 是基于SSL协议及相关加密算法生成的证书, 那么这个ssl协议又是什么呢? 浏览器访问 浏览器一般用单向认证会比较多,向认证的详细配置步骤这里就不多说了。 关于更多证SSL书文档配置可见下面参考文档, 后续也会在此基础上继续更新…----参考文档 1. springboot目配置阿里云ssl证书,http转https 2. 向认证配置指南 6. Nginx配置Https单向认证、向认证以及多证书配置 7. 向认证开发实践

    57130

    HTTPS基本原理与设置

    我们发现自2017年以来,Chrome浏览器已经把只能HTTP访问的网站列为“不安全”网站,这要就迫使网站维护人员开始关注HTTPS,并逐渐将网站配置成可以通过HTTPS访问的事情提上日程。 电报的通信是密文沟通,方如果事先没有拟定好密码本,即使收到电报信号之后也难以理解真实的含义。 总结:与普通通讯相比加密通讯主要是多了一个通讯方协商好了的密码方案(CA证书或密码本) HTTPS有什么好处? 有些场景下HTTPS是不必要的,比如看新闻、看视频 HTTPS工作原理 与电报通讯如出一辙,HTTPS的工作原理如下: 事先协商:浏览器厂家与CA证书厂家协商一些出色的加密方案,达成一致后形成规定 域名关联 为网站域名申请一个CA证书(可能有1-3个文件) 将CA证书下载到网站服务器 网站域名对应的VHOST配置文件中做好与证书有关的路径设置、HTTPS基本设置。

    10320

    HTTPS基本原理与设置

    我们发现自2017年以来,Chrome浏览器已经把只能HTTP访问的网站列为“不安全”网站,这要就迫使网站维护人员开始关注HTTPS,并逐渐将网站配置成可以通过HTTPS访问的事情提上日程。 电报的通信是密文沟通,方如果事先没有拟定好密码本,即使收到电报信号之后也难以理解真实的含义。 总结:与普通通讯相比加密通讯主要是多了一个通讯方协商好了的密码方案(CA证书或密码本) HTTPS有什么好处? 有些场景下HTTPS是不必要的,比如看新闻、看视频 HTTPS工作原理 与电报通讯如出一辙,HTTPS的工作原理如下: 事先协商:浏览器厂家与CA证书厂家协商一些出色的加密方案,达成一致后形成规定 域名关联 为网站域名申请一个CA证书(可能有1-3个文件) 将CA证书下载到网站服务器 网站域名对应的VHOST配置文件中做好与证书有关的路径设置、HTTPS基本设置。

    12730

    2020年了,再不会Https就老了

    合格的web后端程序员,除搬砖技能,还必须会给各种web服务器启用Https,本文结合ASP.NET Core部署模型聊一聊启用Https的方式。 流程解读① 传输密钥是对称密钥,用于方对传输数据的加解密② 怎么在传输之前确立传输密钥呢? 答:针对普遍的多客户端访问受信web服务器的场景, 提出非对称密钥(公钥下发给客户端,私钥存于web服务器),方能互相加解密,说明中间数据(传输密钥)没被篡改。 由nginx反向代理请求到后端https:receiver.server, 在nginx上添加HTTPS证书, 并强制使用HTTPS。 我们利用 Visual Studio 2019目模板构建 ASP.NetCore目--- 勾选HTTPS支持, 会默认添加支持Https的Middleware;app.UseHttpsRedirection

    28010

    全方位解析HTTPS基本原理与设置

    我们发现自2017年以来,Chrome浏览器已经把只能HTTP访问的网站列为“不安全”网站,这要就迫使网站维护人员开始关注HTTPS,并逐渐将网站配置成可以通过HTTPS访问的事情提上日程。 电报的通信是密文沟通,方如果事先没有拟定好密码本,即使收到电报信号之后也难以理解真实的含义。 -下级无线电密码本总结:与普通通讯相比加密通讯主要是多了一个通讯方协商好了的密码方案(CA证书或密码本)。 有些场景下HTTPS是不必要的,比如看新闻、看视频等。HTTPS工作原理与电报通讯如出一辙,HTTPS的工作原理如下:1.事先协商:浏览器厂家与CA证书厂家协商一些出色的加密方案,达成一致后形成规定。 1.为网站域名申请一个CA证书(可能有1-3个文件);2.将CA证书下载到网站服务器;3.网站域名对应的VHOST配置文件中做好与证书有关的路径设置、HTTPS基本设置。

    10010

    Hadoop运维记录 | Zeppelin启用https和Hack内核的过程

    本文是在工作过程中讲Zeppelin启用https过程和Hack内核以满足客户需求的记录。 不过既然他们要求整改,我们也只好配合,虽然大家都觉得内网域名加https属于脱了裤子放屁,然后不让zeppelin干他本来应该干的事就更过分了,但鉴于客户是甲方,也只好hack源码了。 先记录下zeppelin加https访问,我们有自己的域名证书,所以直接用即可。如果没有域名证书,需要自签发,那么可以看第二部分,向认证步骤。https第一部分,已有域名添加jks:? https第二部分,自签发证书向认证添加jks?如果是不需要向认证,只要单向自签发,不创建客户端的各种就可以了。然后找个地把这些文件放过去,再修改zeppelin配置即可。? 回头可以单开好几篇说说zeppelin安装,使用和详细配置,做这目基本把zeppelin摸透了。找到发送前端编写内容给interpreter的java代码,然后用很生硬的办法限制执行命令。

    54990

    Service Mesh - Istio安全篇

    接下来我们配置一个安全网关,为外部提供 HTTPS 的访问方式。 访问方式 number: 443 name: https protocol: HTTPS tls: mode: SIMPLE # 简单模式,单向TLS credentialName: httpbin-credential https:httpbin.example.com:32155status418 -==- _...._ . _ _ `. | .` ^ `. _, _;`---`| | ; _ _ ``# 配置选: ----重保障:为应用设置不同级别的向TLSIstio 认证策略:认证策略的分类 对等认证(PeerAuthentication)请求认证(RequestAuthentication)认证策略范围 对等认证主要用于服务之间的通讯,一般不去用于服务与外界的通讯,因为比较慢,方都需要互相验证及握手接下来我们尝试为应用设置不同级别的向TLS。

    21510

    教你快速撸一个免费HTTPS证书

    摘要: 最受欢迎的免费HTTPS证书,了解一下? HTTPS已成为业界标准,这篇博客将教你申请Let’s Encrypt的免费HTTPS证书。 申请证书 使用certbot命令为www.fundebug.com申请HTTPS证书。–nginx选表示Web服务器为nginx,-d选指定域名,-n选表示非交互式运行命令。 若去除-n选,则终端会提醒你选择是否将http请求重定向为https请求。 certbot --nginx -d www.fundebug.com -n 证书申请成功之后,会看到以下信息。 证书,这时我们可以通过HTTPS协议访问了! 自从2016年十一正式上线,Fundebug累计处理了10亿+错误事件,付费客户有Google、360、金山软件、百姓网等众多品牌企业。欢迎大家免费试用!

    92480

    Weblogic下配置HTTPS

    Weblogic下配置HTTPS步骤如下:0.准备工作 制作配置https所需文件,server.jks servertrust.jks,上传至服务器 划重点:制作教程,点击这里 【 Linux下制作HTTPS 修改配置前,先点击左侧的锁定并编辑3.在【配置】--【一般信息】选卡,勾选启用SSL监听端口 这里的端口就是你HTTPS访问的端口,例如SSL监听端口为7002,那么你的应用https访问地址应为https 4.进入【配置】--【密钥库】选卡 标识区域,即框框区域内的上半部分,填写如下:定制标识密钥库:填写server.jks的路径定制标识密钥库类型:默认,大写的JKS 定制标识密钥库短语:填写制作server.jks 6.SSL选卡高级配置向客户机证书行为: 选择不请求客户机证书使用 JSSE SSL:勾选? PS: 1.密钥口令可不填,回车即可,正确的口令为生成server.jks的设置的密码 2.找到 条目类型: PrivateKeyEntry 的这一,他的别名就是你要配置的别名

    1.3K21

    为什么包括EasyNVR、EasyDSS在内的流媒体平台都开始使用HTTPS了?

    经常会有人对比HTTP和HTTPS,HTTP向HTTPS过度的主要原因可以说是信息数据化的必经过程,为了对数据进行更加精密的加密,HTTPS也日益收到用户的青睐,不难看出,HTTPS的加密机制将会成为未来电子信息化发展的主流 我们的视频监控云边端目架构中,最先通过HTTPS实验的就是EasyNVR和EasyDSS,紧随其后的有EasyCVR、EasyGBS等。image.png为什么我们要支持HTTPS的加密? 在EasyNVR或者EasyDSS运行中,视频传输的数据量是巨大的,而系统的信息一旦被人为拦截,则会造成目现场消息的闭塞。 劫持者还可以篡改传输的信息且不被方察觉,这就是中间人攻击。 并且我们需要了解的是,即便HTTPS 仍然不是一个十全十美的办法,但其本身就是一个经过极其多安全性验证的协议,按照正常的配置方法配置的 HTTPS 已经可以防止大部分中间人攻击了。

    13420

    fiddler使用——配置抓取https,出现提示“禁用解密”“单击配置”

    但是,如果要捕获 https 的请求,我们还需要进行一些额外的设置。要抓取走 HTTPS 的 JS 内容,Fiddler 必须解密 HTTPS 流量。但是,浏览器将会检查数字证书,并发现会话遭到窃听。 首先,打开 Fiddler,在菜单栏中依次选择 【Tools】->【Fiddler Options】->【HTTPS】,勾上如下图的选勾上后,Fiddler 会提示你安装一个证书。 将保存在桌面的证书导入即可(其他浏览器类似,通常有个“证书”选设置)。也可以直接击下载下来的证书,进行安装。我们打开 www.baidu.com,这时就可以愉快地捕获 https 请求了! 细心的你可能会发现,在 https 的请求中夹杂着一些 http 的请求,并且该 session 的 Host 参数是个诡异的 Tunnel to”简单地说 fiddler 当做代理转发 https 请求的时候 ps:据说如果要捕获移动端的 https 请求,在手机上也要安装证书!

    36830

    一分钟理解 HTTPS 到底解决了什么问题1、引言2、HTTPS相关文章3、对HTTPS性能的理解4、传统HTTP的安全性问题5、HTTPS 背后的密码学附录:更多安全方面的文章

    、数字证书、单认证、认证等》《HTTPS时代已来,打算更新你的HTTP服务了吗?》 那么 HTTPS 是解决这些问题的吗?不是,实际上 HTTPS 是在 HTTP 协议上又加了一层,会更慢,相信未来会逐步解决的。同时 HTTPS 用到了很多加密算法,这些算法的执行也是会影响速度的。 HTTP 最大的问题就在于数据没有加密,以及通信方没有办法进行身份验证( confidentiality and authentication),由于数据没有加密,那么只要数据包被攻击者劫持,信息就泄漏了 身份验证的意思就是服务器并不知道连接它的客户端到底是谁,而客户端也不确定他连接的服务器就是他想连接的服务器,方之间没有办法进行身份确认。? 1)既然 HTTP 没有数据加密,那么我们就加密下,对称加密算法上场了,这种算法加密和解密要使用同一个密钥,通信方需要知道这个密钥(或者每次协商一个),实际上这种方法不太可能,这涉及到密钥保密和配送的问题

    42020

    一分钟理解 HTTPS 到底解决了什么问题

    (本文同步发布于:http:www.52im.netthread-2027-1-1.html)2、HTTPS相关文章《即时通讯安全篇(七):如果这样来理解HTTPS,一篇就够了》《一文读懂Https的安全性原理 、数字证书、单认证、认证等》《HTTPS时代已来,打算更新你的HTTP服务了吗?》 HTTP 最大的问题就在于数据没有加密,以及通信方没有办法进行身份验证( confidentiality and authentication),由于数据没有加密,那么只要数据包被攻击者劫持,信息就泄漏了 身份验证的意思就是服务器并不知道连接它的客户端到底是谁,而客户端也不确定他连接的服务器就是他想连接的服务器,方之间没有办法进行身份确认。 1)既然 HTTP 没有数据加密,那么我们就加密下,对称加密算法上场了,这种算法加密和解密要使用同一个密钥,通信方需要知道这个密钥(或者每次协商一个),实际上这种方法不太可能,这涉及到密钥保密和配送的问题

    21530

    相关产品

    • 证书监控 SSLPod

      证书监控 SSLPod

      证书监控(SSLPod)是一款集多个 HTTPS 网站安全检测、证书有效期管理以及异常告警等功能于一体的系统。它提供了可视化评级图表和可交互的跨品牌证书管理仪表盘,支持 HTTPS 安全评级,证书品牌、证书有效期、SSL 漏洞、PCI DSS & ATS 合规监控和集中管理。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券