使用 HTTPS 的端点是否不足以避免嗅探攻击?

Is endpoint with HTTPS not enough to avoid sniffing attacks?

我的端点附带 HTTPS,但如果我通过此端点 post 用户凭据,它如何容易受到嗅探攻击? HTTPS端点还不够还是还需要一些其他实现?

如果我 POST 通过 REST 端点的用户凭据。

声明 1:我的端点启用了 HTTPS。

声明2:传输通道采用HTTPS加密。

这两种说法有什么区别?

我正在通过启用 https 的 REST api 发送 post 请求,即使在拦截打开时 post 数据是可见的。

下图由我们的 VAPT 团队提供,表示端点不安全,因为他们能够拦截流量并检索 post 用户名和密码等数据。

HTTPS对传输通道进行加密,使客户端和服务器之间的任何节点都无法读取明文内容。流量仍然可以嗅探,但是嗅探到的数据是加密的。这是一个非常重要的区别,因为如果加密很弱或者将来被破解,任何保存的加密数据都可能被解密。


有什么区别:

  1. 我的端点启用了 HTTPS。
  2. 传输通道采用 HTTPS 加密。

这就是“我会烤蛋糕”和“我会烤蛋糕”的区别。仅仅启用某些东西并不意味着它正在被使用或者 HTTPS 没有被绕过或以某种方式被禁用。