Https介绍&&抓包原理

大致原理

Charles作为一个中间人代理,在客户端给服务器端发消息的时候,会截取客户端发送给服务器的请求,然后伪装成客户端与服务器进行通信;服务器返回数据时将截取的数据发送给客户端,伪装成服务器与客户端进行通信。

image

这个过程其实很简单,但不同于HTTP,更安全的HTTPS能有效防止中间人攻击;Charles是如何截取HTTPS链接的呢?

HTTPS的安全性

相比HTTP,HTTPS之所以更安全的是因为其在HTTP传输层之上加了一个安全层(SSL或TLS协议)传输层安全性协议 (Transport Layer Security,缩写作 TLS),它的前身是安全套接层 (Secure Sockets Layer,缩写作 SSL),;
HTTPS的安全性主要体现在下面3个方面:

  • 数据的保密性(防窃听)
  • 数据的完整性(防篡改)
  • 通信双方身份的真实性(防冒充)
数据的保密性

要实现数据的保密,就需要使用加密算法对数据进行加密;加密算法大致分为两类:对称加密,非对称加密;

  • 对称加密:加密和解密使用相同密钥的加密算法。对称加密速度快,通常在需要加密大量数据时使用;因为加密和解密都使用同一个密钥,把密钥传递到解密者的过程中也会有风险,因此对称加密不是很安全的;常用的对称加密算法有:DES、3DES、RC2、RC4、RC5、IDEA等

  • 非对称加密,加密和解密使用不同密钥的加密算法;它使用了一对密钥,公钥私钥;使用公钥加密的数据,利用私钥解密;使用私钥加密的数据,利用公钥解密;非对称加密通常使用RSA算法(RSA原理探究),RSA的公钥和私钥其实就是一组数字,数字长度越长加密强度越大;数字一般是高于768位(二进制),不能被轻易破解;RSA算法加密解密其实就是对这个比较大的数进行运算;因此RSA非对称加密要比对称加密慢很多,为了保证效率,RSA非对称加密只用于小数据;

基于对称加密和非对称加密的优缺点,HTTPS的加密方案就是:

  • 连接建立过程:
  1. 客户端向服务器请求(发送TLS版本号、支持的加密算法、随机数C);
  2. 服务器返回非对称加密的公钥(证书)、商定的加密算法、随机数S给客户端;
  3. 客户端验证服务器返回的证书;
  4. 证书验证通过,客户端就根据服务器返回的证书及随机数S和随机数C生成一个会话密钥(对称加密);
  5. 客户端用服务器返回的公钥(证书)对会话密钥进行非对称加密后传输给服务器;
  6. 服务器通过私钥解密得到会话密钥;
  7. 客户端和服务器互相传输加密的握手消息来验证安全通道是否已完成;
  • 通信过程
  1. 客户端使用会话密钥对传输的数据进行对称加密传输给服务器;
  2. 服务器使用会话密钥对传输的数据进行解密;
  3. 服务器使用会话密钥对响应的数据进行对称加密传输给客户端;
  4. 客户端使用会话密钥对传输的数据进行解密;

总的来说就是:连接建立过程使用非对称加密,后续通信过程使用对称加密;

数据的完整性

数据的加密,有效保证了数据不被窃听(很难得到原始的数据),但传输的数据在传输过程中有可能被篡改或替换;比如:
传输的原始数据是123456,经过加密后数据是abcdef;客户端将abcdef这个数据传输给服务器,传输过程中中间人能拿到abcdef这个数据,但因为没有密钥很难解密出原始数据123456;但是,中间人还是能对得到的abcdef这个加密数据进行处理,比如将这个数据改为xxxxx;这样服务器得到的数据就是被篡改后的xxxxx;同样,服务器返回数据给客户端时也会被篡改;这样其实也是不安全的;
解决方案是进行数字签名:使用Hash算法将任意长度的字符串转化为固定长度的字符串,该过程不可逆,可用来作数据完整性校验;
具体可参考浅谈Hash
数字签名的简要过程(服务器-->客户端为例,客户端-->服务器类似):

  1. 服务器使用Hash算法对数据提取定长摘要
  2. 服务器使用私钥对摘要进行加密,作为数字签名
  3. 服务器将数字签名连同加密的数据一同传输给客户端
  4. 客户端使用公钥对数字签名进行解密,得到摘要A
  5. 客户端对解密后的传输数据也使用Hash算法得到定长摘要B
  6. 对比摘要A和摘要B,如果不一致则数据已被篡改
通信双方身份的真实性

以上加密过程,最核心的就是非对称加密的公钥和私钥;如果这个密钥都是攻击者提供的,那传输的数据在攻击者那里也是相当于裸露的;如何确保密钥是不被冒充的呢?HTTPS使用了数字证书(签名),数字证书就是身份认证机构CA(Certificate Authority)加在数字身份证上的一个签名,证书的合法性可以向CA验证;证书的制作方法是公开的,任何人都可以自己制作证书,但只有权威的证书颁发机构的证书能通过CA认证;
数字证书主要包含以下信息:

  • 证书颁发机构
  • 证书颁发机构签名
  • 证书版本、有效期
  • 证书绑定的服务器域名
  • 签名使用的加密算法(非对称算法,如RSA)
  • 公钥

客户端和服务器连接过程中,收到服务器返回的证书后,会先向CA验证证书的合法性(根据证书的签名、绑定的域名等信息),如果校验不通过中止连接,并提示证书不安全。

HTTPS抓包原理

首先我们看下使用Charles抓包HTTPS的情况:

image

正常情况下,得到的结果都是<unknown>;这是因为我们前面讲的HTTPS的安全性的作用;
使用Charles如何解决这种情况呢?根据官方教程,需要我们使用者在手机上安装Charles根证书并设置为信任:

image

配置好后,就能和HTTP一样抓包使用了;

为什么手机安装了Charles根证书后就能正常抓包呢?
其实Charles做的就是针对HTTPS的通信双方身份的真实性进行处理;

  • 当客户端和服务器建立连接时,Charles会拦截到服务器返回的证书(服务器公钥)
  • 然后动态生成一张weizao证书(Charles公钥/假公钥)发送给客户端
  • 客户端收到Charles证书后,进行验证;因为之前我们手机设置了信任,所以验证通过;(只要手机不信任这种证书,HTTPS还是能确保安全的)
  • 客户端生成会话密钥,使用Charles证书对会话密钥进行加密再传输给服务器
  • Charles拦截到客户端传输的数据,使用自己的Charles私钥进行解密得到会话密钥
  • 连接成功后,客户端和服务器通信,客户端对传输的数据使用会话密钥加密并使用公钥对数据摘要进行数字签名,一同传输给服务器;
  • Charles拦截到通信的数据,使用之前获得的会话密钥解密就能得到原始数据;
  • Charles同样也能篡改通信的数据:将篡改后的数据重新加密并重新生成摘要并使用之前获得的公钥进行数字签名,替换原本的签名,再传输给服务器;
  • 服务器收取到数据,按正常流程解密验证;
  • 服务器返回响应数据时,Charles也是类似拦截过程

整个流程大致如下图:

image

防抓包

从上文可以知道,抓包主要的原理就是中间人替换了原本的证书;防抓包就可以通过针对证书的校验来实现;
AFN有封装类似校验证书的功能,接下来主要介绍AFN+SSL Pinning的方式对证书进行校验;

  • 获取服务器的HTTPS证书,并把证书加到项目Bundle中;
  • AFN代码设置Policy
// 自定义安全策略
+ (AFSecurityPolicy *)customSecurityPolicy {
    
    // 获取证书
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"xiaoqi" ofType:@"cer"];
    NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    NSSet *pinnedCertificates = [[NSSet alloc] initWithObjects:certData, nil];

    /*
     安全模式
     AFSSLPinningModeNone:完全信任服务器证书;
     AFSSLPinningModePublicKey:只比对服务器证书和本地证书的Public Key是否一致,如果一致则信任服务器证书;
     AFSSLPinningModeCertificate:比对服务器证书和本地证书的所有内容,完全一致则信任服务器证书
     */
    AFSecurityPolicy *securityPolicy =
    [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey
                     withPinnedCertificates:pinnedCertificates];
    
    // allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
    // 如果是需要验证自建证书,需要设置为YES
    securityPolicy.allowInvalidCertificates = YES;
    
    /*
    validatesDomainName 是否需要验证域名,默认为YES;
    假如证书的域名与你请求的域名不一致,需把该项设置为NO;
    如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
    置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。
    因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;
    当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
    如置为NO,建议自己添加对应域名的校验逻辑。
     */
    securityPolicy.validatesDomainName = YES;
    
    return securityPolicy;
}
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode: AFSSLPinningModeCertificate];
securityPolicy.allowInvalidCertificates = YES;
securityPolicy.validatesDomainName = NO;
[AFHTTPSessionManager manager].securityPolicy = securityPolicy;

AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode: AFSSLPinningModeCertificate];

这句代码中,会去Bundle中获取所有的cer证书文件:

image

AFSSLPinningMode有3种模式:

image

在证书配置好及代码设置好后,再使用抓包软件就无法查看更改接口了;

AFN的HTTPS校验核心代码在evaluateServerTrust方法内

- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                  forDomain:(NSString *)domain {
    ...
    ...
}

作者:_小沫
链接:https://www.jianshu.com/p/f6f6a21e17c0
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容