从fiddler的配置过程中,思考中间人攻击的防范

清晰图解https如何防范中间人攻击 https://blog.csdn.net/oZhuZhiYuan/article/details/106650944
中间人可以获取站点的证书,但不能获取站点的私钥,所以无法与客户端进行密钥协商。但中间人也不是没有办法,既然获取不到站点的私钥,那索性就不用站点的证书,比如fiddler。
fiddler会使用自己的证书,而不使用站点的证书。这需要用户手动添加并信任fiddler的证书。

Android系统https抓包问题分析 https://www.cnblogs.com/jiangjunyong/p/13272164.html
如果用户缺乏安全知识,添加了攻击者颁发的证书,或者没有添加信任但是无视了安全告警,那https也无法阻止攻击。这篇文章提到了SSL pinning(也叫客户端预埋证书),消除了这个隐患。不过预埋也可以被XPosed+justTrustMe绕过,使预埋验证被跳过。(网上有的https教程,验证函数直接return true,或者是直接使用开源框架,而一些开源框架的验证函数也没写)

SSL劫持(即类似fiddler)与SSL剥离(另一种中间人攻击思路,且浏览器不会发出警告!):
https://blog.csdn.net/shenshaojun/article/details/109121888

你可能感兴趣的:(安全)