中间人攻击
https
原理如图:
- HTTPS及HTTPS中间人攻击,全站HTTPS正在称为潮流趋势,国内实现全站https的有淘宝和百度两家。
web通信中的SSL加密的公钥证书(受信任的第三方证书颁发机构签名颁发)常见的如
VeriSign
Thawte
GlobalSign
Symantec握手——协商加密算法——获得公钥证书——验证公钥证书——交换会话**——加密信息传输
OpenSSL
OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的**和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
openssl s_client -connect www.baidu.com:443
sslcan
SSLscan主要探测基于ssl的服务,如https。SSLscan是一款探测目标服务器所支持的SSL加密算法工具。
sslcan能自动识别ssl配置错误,过期协议,过时cipher suite和hash算法默认会检查CRIME、heartbled漏洞,绿色表示安全、红色黄色需要引起注意 sslscan -tlsall www.baidu.com:443