【发布时间】:2015-06-25 01:26:12
【问题描述】:
我最近制作了一个 android 应用程序,它通过 HTTPS Post 请求向服务器发送一些信息。信息存储在请求的正文中。但是,其中一位应用用户似乎正在修改请求的内容。我不确定这怎么可能,因为我的印象是,如果使用 HTTPS,内容会完全加密并且无法拦截。然而,现在看来,这种假设是错误的。
有人可以帮我理解用户是如何截获这个请求的吗?
【问题讨论】:
【发布时间】:2015-06-25 01:26:12
【问题描述】:
有很多方法可以做到这一点,但最简单的方法是 Charles Proxy,它是一种有价值的开发工具。你上面描述的场景很简单:)
【讨论】:
-
但是这个代理如何访问服务器的证书和私钥呢?
-
查看查尔斯的网站。您在设备上设置了一个受信任的证书,以便 Charles 可以代理请求。一切都已完全解密,您可以修改消息的任何部分:标题、正文等。
-
哈哈,我记得当我用它来“破解”facebook游戏中的点时:P 你描述的做起来非常简单!
HTTPS/TLS 协议不能防止中间人攻击。除非您验证服务器证书并确保它由受信任的 CA 签名并且该 CA 没有受到损害,否则您永远无法确定您是在与服务器还是与某个代理通信。哦,SSL 堆栈也可能会受到损害。
【讨论】: