Open azl397985856 opened 4 years ago
前提条件:攻击DNS服务器、攻击CA机构的证书服务器、伪造一套SSL的密钥对和证书
流程如下:
这样下来,用户其实是和攻击者建立了SSL连接,而攻击者才是真正和网站建立连接的那方,所以用户和网站的数据都会经过攻击者。这个过程是中间人攻击,不过攻击CA证书服务器就过分了,尽管有人成功的攻击过CA机构。要是可以自己作死,可以把这步更换成上传信任的证书。把攻击者的伪造的证书上传一下,就能体验被攻击者骑在头上拉屎的乐趣了。
charles/fiddler 的原理是什么? https://www.jianshu.com/p/405f9d76f8c4
现在我们有一个网页,或者app页面。 里面有https请求,我们如何劫持这个https请求,需要什么前提条件?如何操作?