#WEB安全基礎 : HTTP協議 | 0x13 不安全的HTTP
HTTP作為一個大規模使用的網絡協議就真的安全了嗎?
我們知道互聯網為什麽叫互聯網,你可以在任何地方都可以與之相連,所以在這些可以連接的點上都可以獲取互聯網的部分信息。
那麽HTTP通信時有什麽缺點嗎?
首先我們在用wireshark抓寶時可以看到報文的全部內容,因此HTTTP是不加密的,它的通信使用明文。
而且它也不會驗證通信方的身份,所以可能遭遇偽裝。
我們既然可以在中途進行抓寶,所以我們也可以將其篡改,所以在這一點HTTP報文是可以被篡改的。
我們之所以能用抓包工具看清楚HTTP報文中的一切,那就是因為他使用明文傳輸(即不加密)。
你可以在任何地方監聽報文,相同局域網的客戶端(C端攻擊經常使用此手段),客戶端與互聯網之間,服務器與互聯網之間,或者互聯網之內,都可以進行監聽。
問題的提出就是為了解決問題,所以人們發明了SSL(安全套接層)和TLS(安全傳輸層協議),這兩個東西可以對HTTP的傳輸路線進行加密(只是傳輸路線而不是報文的內容)。
TLS是SSL的升級版,後者是前者的前身。
所以使用了SSL或TLS的HTTP就叫做HTTPS(超文本傳輸安全協議),HTTPS是在建立的加密通道內進行數據傳輸,但數據本身並未加密。
使用HTTPS的網站在它的URL上寫著https:// 這點足以我們分清是否使用HTTPS
如:
在另一方面,為了保證相對安全,內容也可以進行加密,事實上是對報文主體進行加密,而報文頭部沒有,這在WEB服務器上經常使用,前提是客戶端和服務端都要知道如何加密和解密。
但是這種方法並不是對通信線路進行加密(SSL和TSL對線路進行加密),所以當你知道如何解密和加密的時候,也可以篡改內容被加密的報文。
//本系列教程基於《圖解HTTP》,此書國內各大購物網站皆可購買
轉載請註明出處 by:M_ZPHr
最後修改日期:2019-04-05
#WEB安全基礎 : HTTP協議 | 0x13 不安全的HTTP