Security 是否可以嗅探并重新提交HTTPS请求?
如果有人嗅探网络流量,他能否将嗅探到的加密请求重新发送到服务器(不进行篡改)?例如,一个请求可能会激活服务器上的某个过程,因此他是否可以重新激活该过程,因为他拥有请求内容,即使是在HTTPS上?答案取决于谁可能攻击您的系统: 如果使用您的网页或应用程序的用户是攻击者,则明确回答是“是”,请求数据是可访问的 如果必须将本地系统管理员视为潜在攻击者,则答案是肯定的 如果您所说的是一名只能访问加密数据包的外部攻击者(例如,互联网访问提供商),则答案是否定的 您始终可以通过记录所有请求和响应数据的解密代理重定向HTTPS流量。客户端只需接受/安装/信任代理的证书。这称为: 重放攻击(也称为重放攻击)是一种网络攻击形式,其中有效数据传输被恶意或欺诈性地重复或延迟 SSL/TLS本质上保护您的连接免受重播攻击,因此HTTPS上的任何内容都受到保护Security 是否可以嗅探并重新提交HTTPS请求?,security,https,server,sniffing,network-traffic,Security,Https,Server,Sniffing,Network Traffic,如果有人嗅探网络流量,他能否将嗅探到的加密请求重新发送到服务器(不进行篡改)?例如,一个请求可能会激活服务器上的某个过程,因此他是否可以重新激活该过程,因为他拥有请求内容,即使是在HTTPS上?答案取决于谁可能攻击您的系统: 如果使用您的网页或应用程序的用户是攻击者,则明确回答是“是”,请求数据是可访问的 如果必须将本地系统管理员视为潜在攻击者,则答案是肯定的 如果您所说的是一名只能访问加密数据包的外部攻击者(例如,互联网访问提供商),则答案是否定的 您始终可以通过记录所有请求和响应数据的解密代
但是,如果有一个代理服务器(可能是透明的)在路由过程中使用您的浏览器信任的SSL证书(例如在公司环境中,每个计算机上都安装了由组织签名的根证书),那么这将能够重播HTTPS通信。@实用程序-该链接表示数据是安全的“使用仅在您和服务器之间共享的私钥加密的二进制数据流”,问题是如果其他人向服务器发送相同的数据,是否会正确解密并将其视为有效请求(因为服务器知道最初加密数据的私钥)?如果您的公司、教育机构或其他互联网连接提供商通过集团策略安装,或要求您在您的计算机或浏览器上安装中间证书,则他们可以嗅探您的流量:那么,如果攻击者将访问到的这些加密数据包“原样”发送,会发生什么情况“到服务器?什么都没有。由于在服务器端使用了随机数(32位),SSLv3/TLS可以防止重播攻击。请详细说明SSL是如何强制执行的?它是否使用了一些加密的nonce?如果是,它在哪里“存储”它以确定它已经被使用过一次?From:
主密钥用ClientHello.random和ServerHello.random散列,为每个连接生成唯一的数据加密密钥和MAC密钥。为了防止消息重播或修改攻击,MAC根据MAC密钥、序列号、,消息长度、消息内容和两个固定字符串。ClientHelloServerHello