HTTP特点
HTTP 协议是支持客户端/服务端模式,也是一种请求/响应模式的协议
简单快速: 客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST
灵活: HTTP允许传输任意类型的数据对象。传输的类型由Content-Type加以标记。
无连接: 限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session。
无状态: 无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传。HTTP 中间人攻击
HTTP 中间人攻击
HTTP 协议使用起来确实非常的方便,但是它存在一个致命的缺点:不安全。我们知道 HTTP 协议中的报文都是以明文的方式进行传输,不做任何加密,这样会导致中间人攻击
例如:小明 JAVA 贴吧发帖,内容为 我爱JAVA:
被中间人进行攻击,内容修改为 我爱PHP
服务器接收到的就是错误的信息:我爱PHP
除此之外,请求信息也容易被窃听截取、冒充
HTTPS
HTTPS并非是应用层的一种新协议,其实是 HTTP+SSL/TLS 的简称
HTTP 和 HTTPS 的区别:
HTTP 是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的TLS(SSL)加密传输协议
HTTP 和 HTTPS 使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443
HTTP 的连接很简单,是无状态的;HTTPS协议是由 HTTP+SSL/TLS 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。
使用 HTTPS 会被抓包吗?
HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。
但是,正如前文所说,浏览器只会提示安全风险,如果用户授权仍然可以继续访问网站,完成请求。因此,只要客户端是我们自己的终端,我们授权的情况下,便可以组建中间人网络,而抓包工具便是作为中间人的代理。通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。
既然 HTTPS 不能防抓包,那 HTTPS 有什么意义?HTTPS 可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被破解。
那如何对http进行加密呢,可以通过waf产品进行域名解析,对其进行加密
GOODWAF对网页的html源码进行机密,以此防止网页信息被窃听截取、冒充
销售
成为合作伙伴 联系销售: 13018982728入门
免费版 付费版 白皮书社区
小红书开发人员
技术资源 Goodwaf Workers支持
支持 Goodwaf 状态 合规性公司
关于Goodwaf 我们的团队 新闻