https:如果消除了浏览器执行的证书验证步骤,会出现什么问题?
https: what can go wrong if the certificate validation step perfomed by browser was eliminated?
在 https 协议中,浏览器通过检查证书是否由有效的 CA 签名来验证服务器提供的证书(例如 https://paypal.com)。一旦建立了这种信任,整个非对称加密就会开始。
第二部分(非对称加密,建立秘钥)我理解的很好。但是,我无法理解第一部分的必要性。为什么服务器需要识别自己?
Afaik,dns 注册表将 paypal.com 指向正确的 IP 地址。所以它不像黑客可以操纵 dns 以便 paypal.com 指向他的服务器。即使他这样做了,他也可以出示另一个由 CA 签发的证书。
我正在寻找一些示例,说明如果取消服务器识别步骤会出现什么问题?
请执行以下操作:
- 下载像 Burp 或 OWASP ZAP 这样的攻击代理。
- 打开它,代理来自浏览器的流量。接受无效证书。
- 尝试使用代理操纵流量。超越竞争。删除内容。将恶意链接放在那里。随便。
- 观察您的浏览器。
看,这已经不是 paypal.com 的内容了。你看到的是你自己的,还有 paypal.com 站在浏览器中 URL。
所有类型的 MitM (Man-in-the-Middle) 攻击都是可能的。
顺便问一下,您认为您的 DNS 调用已通过身份验证吗?
ARP poisoning 怎么样(您本地网络中的任何人都可以这样做)?这不是火箭科学,10 岁的孩子可以进行这样的攻击。
在 https 协议中,浏览器通过检查证书是否由有效的 CA 签名来验证服务器提供的证书(例如 https://paypal.com)。一旦建立了这种信任,整个非对称加密就会开始。
第二部分(非对称加密,建立秘钥)我理解的很好。但是,我无法理解第一部分的必要性。为什么服务器需要识别自己?
Afaik,dns 注册表将 paypal.com 指向正确的 IP 地址。所以它不像黑客可以操纵 dns 以便 paypal.com 指向他的服务器。即使他这样做了,他也可以出示另一个由 CA 签发的证书。
我正在寻找一些示例,说明如果取消服务器识别步骤会出现什么问题?
请执行以下操作:
- 下载像 Burp 或 OWASP ZAP 这样的攻击代理。
- 打开它,代理来自浏览器的流量。接受无效证书。
- 尝试使用代理操纵流量。超越竞争。删除内容。将恶意链接放在那里。随便。
- 观察您的浏览器。
看,这已经不是 paypal.com 的内容了。你看到的是你自己的,还有 paypal.com 站在浏览器中 URL。
所有类型的 MitM (Man-in-the-Middle) 攻击都是可能的。
顺便问一下,您认为您的 DNS 调用已通过身份验证吗?
ARP poisoning 怎么样(您本地网络中的任何人都可以这样做)?这不是火箭科学,10 岁的孩子可以进行这样的攻击。