0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

科普:安全测试基础之HTTPS

如意 来源:百家号 作者: 测试之心 2020-06-27 16:49 次阅读

不知道小伙伴注意到没有,不知不觉中,我们常用的网站都已经采用了HTTPS加密;Chrome把HTTP网站标记为不安全,Apple要求所有IOS App全部采用HTTPS加密。那么本期我们就来介绍一下HTTPS。

01

HTTPS介绍

要介绍HTTPS,先得说一下HTTP。

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。

HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,于是,诞生了HTTPS。简单来说HTTPS是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。TLS/SSL 具有身份验证、信息加密和完整性校验的功能。

02

TLS介绍

科普:安全测试基础之HTTPS

TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

我们一起来回顾一下SSL/TLS的发展历程:

SSL 1.0 版本从未公开过,因为存在严重的安全漏洞。

1995年:SSL 2.0 版本在1995年2月发布,但因为存在数个严重的安全漏洞而被3.0版本替代。

1996年:SSL 3.0 写成RFC,开始流行。目前(2015年)已经不安全,必须禁用。SSL 3.0的漏洞允许攻击者发起降级攻击。

1999年:TLS 1.0 互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。

2006年:TLS 1.1 作为 RFC 4346 发布。主要修复了CBC模式相关的如BEAST攻击等漏洞。

2008年:TLS 1.2 作为 RFC 5246 发布 。提供现代加密算法(AEAD),增进安全性,目前主要使用的版本。

2018年:TLS 1.3 作为 RFC 8446 发布。,支持0-rtt,大幅增进安全性,砍掉了AEAD之外的加密方式。

目前通过wireshark抓包,可以看到,使用的都是 TLS 1.2,同时window服务器应该禁用默认的 SSL 2.0 和 SSL 3.0 只启用 TLS 1.2 保证安全。

科普:安全测试基础之HTTPS

03

HTTPS就绝对安全了吗

HTTPS就绝对安全了吗,也不是,下面说一种攻击方式--中间人攻击:

科普:安全测试基础之HTTPS

你以为你在跟服务器通信,其实不是……

在我们测试工作中,会用fiddler或者burpsuite抓取https包,利用的就是中间人攻击这个原理。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全测试
    +关注

    关注

    0

    文章

    26

    浏览量

    8701
  • HTTP协议
    +关注

    关注

    0

    文章

    61

    浏览量

    9719
  • https
    +关注

    关注

    0

    文章

    51

    浏览量

    6124
收藏 人收藏

    评论

    相关推荐

    电池的安全测试项目有哪些?

    电池的安全测试是保证电池在实际使用过程中稳定、安全的重要手段。通过一系列严格的测试项目,能够有效评估电池在不同条件下的表现,并提前发现潜在的安全
    的头像 发表于 12-06 09:55 283次阅读
    电池的<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>项目有哪些?

    电池安全测试关键:圆柱与软包电池测试设备指南

      在进行圆柱电池和软包电池的安全性能测试时,必须使用一系列专业的测试设备,以全面评估电池在不同极限条件下的表现。常见的必备测试仪器包括电池测试
    的头像 发表于 12-06 09:35 237次阅读
    电池<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>关键:圆柱与软包电池<b class='flag-5'>测试</b>设备指南

    https 的本质、证书验证过程以及数据加密

    1. 什么是 HTTPS HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS。 它是为了解决 HTTP 存在的安全性问题,而衍生的协议,那使用 HTTP 的缺点有: 1.通信使用明文可能会
    的头像 发表于 10-30 10:53 256次阅读
    <b class='flag-5'>https</b> 的本质、证书验证过程以及数据加密

    骁锐XAORI工业安全科普欧洲安全等级概念的划分

    骁锐XAOR主要生产的工业安全产品有:安全光栅,安全门锁,安全门闩,安全开关,接近开关,行程开关,安全
    的头像 发表于 10-09 11:53 351次阅读
    骁锐XAORI工业<b class='flag-5'>安全</b><b class='flag-5'>科普</b>欧洲<b class='flag-5'>安全</b>等级概念的划分

    科技少年梦 科普粤海行|芯海科技科普基地启迪智慧未来

    9月28日,由深圳市南山区粤海街道办事处主办,深圳市高科技协同创新促进会、深爱人才馆策划执行的“科技少年梦科普粤海行”系列活动“芯片探秘链启未来”芯海科技产品体验日成功举行,吸引了众多青少年及家长
    的头像 发表于 10-01 08:07 278次阅读
    科技少年梦 <b class='flag-5'>科普</b>粤海行|芯海科技<b class='flag-5'>科普</b>基地启迪智慧未来

    有没有办法使用AT命令连接到安全服务器(https)?

    有没有办法使用 AT 命令连接到安全服务器 (https)?如果是这样,将如何做到?
    发表于 07-17 08:16

    科普EEPROM 科普 EVASH Ultra EEPROM 科普存储芯片

    科普EEPROM 科普 EVASH Ultra EEPROM 科普存储芯片
    的头像 发表于 06-25 17:14 561次阅读

    电感科普篇:电感的特性有哪些?

    电感科普篇:电感的特性有哪些?
    的头像 发表于 06-16 10:31 1119次阅读

    新能源汽车不安全?新能源汽车测试方案篇——充电桩综合测试

    、节能减排、保护环境等多方面的优点,成为世界汽车产业的发展方向。 安全性问题 在新能源汽车的发展中,安全性问题备受关注。其中,电池作为新能源汽车的核心组件之一,其安全性显得尤为重要。而影响电池
    的头像 发表于 06-11 14:50 406次阅读
    新能源汽车不<b class='flag-5'>安全</b>?新能源汽车<b class='flag-5'>测试</b><b class='flag-5'>之</b>方案篇——充电桩综合<b class='flag-5'>测试</b>

    开关电源安全测试项目有哪些?如何测试

    总结而言,通过对开关电源进行过压保护、过流保护、短路保护、绝缘电阻测试、高压测试以及温升测试等一系列全面的安全性检测,可以充分评估电源的可靠性、安全
    的头像 发表于 05-23 17:41 911次阅读
    开关电源<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>项目有哪些?如何<b class='flag-5'>测试</b>?

    有奖征文!第二届电力电子科普作品创作大赛(中国电源学会和英飞凌联合主办)

    ,这位幕后英雄——电力电子技术,往往并不为大众所熟知。 你,作为电力电子行业的辛勤耕耘者,是否曾想过,将你的知识以通俗的语言分享给更多的人?中国电源学会举办的电力电子科普作品创作大赛,为你搭建了一个展
    发表于 04-11 11:38

    DC电源模块的安全性能评估与测试方法

    BOSHIDA DC电源模块的安全性能评估与测试方法 DC电源模块的安全性能评估与测试方法应包括以下几个方面:  DC电源模块的安全性能评估
    的头像 发表于 03-08 11:15 690次阅读
    DC电源模块的<b class='flag-5'>安全</b>性能评估与<b class='flag-5'>测试</b>方法

    手表按键阻尼力测试仪:科技助力时间

    手表按键阻尼力测试仪:科技助力时间
    的头像 发表于 02-21 09:28 463次阅读
    手表按键阻尼力<b class='flag-5'>测试</b>仪:科技助力时间<b class='flag-5'>之</b>美

    推拉力测试仪适用于各种不同用途测试及公式

    推拉力测试仪适用于各种不同用途测试! 1. 拉力测试。推拉力测试仪可以测试被测物体的拉力,例如
    的头像 发表于 01-08 17:01 1478次阅读
    推拉力<b class='flag-5'>测试</b>仪适用于各种不同用途<b class='flag-5'>之</b><b class='flag-5'>测试</b>及公式

    雅特力AT32 MCU基于mbed TLS的HTTPS服务器

    HTTPS概述HTTPS安全性是基于TransportLayerSecurity(TLS),TLS是一种网络加密通信的方式,作为SecureSocketsLayer(SSL)的接续协议,TLS允许
    的头像 发表于 01-06 08:14 591次阅读
    雅特力AT32 MCU基于mbed TLS的<b class='flag-5'>HTTPS</b>服务器