BaseProxy 异步http/https代理,可拦截并修改报文,可以作为中间人工具.仅支持py3.5+.项目地址:BaseProxy. 意义 BaseProxy项目的本意是为了使HTTP/HTTPS拦截更加纯粹,更加易操作,学习成本更低. 在Python领域,中间人工具非常强大和成功的是MitmProxy,但是有些地方不是很喜欢. Windows上安装比较费时费力 功能太多了,可惜我用不到这么多(似乎不是它的错,哈哈) 随着版本升级,采用插件化框架,需要定制功能,需要写个插件成为它的一部分(…

Android安全之Https中间人攻击漏洞 0X01 概述   HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性. 中间人攻击,Man-in-the-middle attack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制. https在理论上是可以抵御MITM,但是由于开发过程中的编码…

上文说到HTTPS的三次握手:http://www.cnblogs.com/wh4am1/p/6616851.html 不懂的再回头去看看 三.中间人攻击 https握手过程的证书校验环节就是为了识别证书的有效性唯一性等等,所以严格意义上来说https下不存在中间人攻击,存在中间人攻击的前提条件是没有严格的对证书进行校验,或者人为的信任伪造证书,下面一起看下几种常见的https“中间人攻击”场景. 1.证书未校验 由于客户端没有做任何的证书校验,所以此时随意一张证书都可以进行中间人攻击,可以使用…

一.前言 随着安全的普及,https通信应用越发广泛,但是由于对https不熟悉导致开发人员频繁错误的使用https,例如最常见的是未校验https证书从而导致“中间人攻击”,并且由于修复方案也一直是个坑,导致修复这个问题时踩各种坑,故谨以此文简单的介绍相关问题. 本文第一节主要讲述https的握手过程,第二节主要讲述常见的“https中间人攻击”场景,第三节主要介绍证书校验修复方案,各位看官可根据自己口味浏览. 二.HTTPS握手过程 首先来看下https的工作原理,上图大致介绍了https的…

  前言 很早以前看过HTTPS的介绍,并了解过TLS的相关细节,也相信使用HTTPS是相对安全可靠的.直到前段时间在验证https代理通道连接时,搭建了MITM环境,才发现事实并不是我想的那样.由于部分应用开发者忽视证书的校验,或者对非法证书处理不当,让我们的网络会话几乎暴露在攻击者面前. 下文会向大家展示的对IOS系统上2款常见的应用(知乎,360浏览器)进行MITM攻击,获取或篡改用户数据. 基本介绍 中间人攻击的基本介绍可能看这里(https://zh.wikipedia.org/wik…

攻击过程: 服务器向客户端发送公钥. 攻击者截获公钥,保留在自己手上. 然后攻击者自己生成一个[伪造的]公钥,发给客户端. 客户端收到伪造的公钥后,生成加密hash值发给服务器. 攻击者获得加密hash值,用自己的私钥解密获得真秘钥. 同时生成假的加密hash值,发给服务器. 服务器用私钥解密获得假秘钥. 服务器用加秘钥假密传输信息 防范方法: 服务端在发送浏览器的公钥中加入CA证书,浏览器可以验证CA证书的有效性…

前言 在上一篇文章BaseProxy:异步http/https代理中,我介绍了自己的开源项目BaseProxy,这个项目的初衷其实是为了渗透测试,抓包改包.在知识星球中,有很多朋友问我这个项目的原理及实现代码,本篇文章就讲解一下和这个项目相关的HTTPS的中间人攻击. HTTPS隧道代理 HTTPS隧道代理简单来说是基于TCP协议数据透明转发,在RFC中,为这类代理给出了规范,Tunneling TCP based protocols through Web proxy servers.浏览器客…

前面写了学习CrawlSpider遇到的问题后,今天学XMLFeedSpider又出现了启动后没爬取到数据,但又不报错的情况 经过排查,发现又是一个粗心大意的错误: class SpiderUserXMLFeedSpider(XMLFeedSpider): name = 'xmlspider' allowed_domains=['cnblogs.com']#这里敲少了一个s start_urls=['http://feed.cnblogs.com/blog/u/269038/rss'] iter…

Android安全开发之安全使用HTTPS 1.HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验.主机名弱校验.webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设.接下来介绍一下安全使用HTTPS的相关内容. 1.1 为何需要HTTPS HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容.如下图所示就是典型的APP HTTP通信被运营商劫持修改,插入广告: 上图是在我的住…

目标 选取几个比特币交易量大的几个交易平台,查看对应的API,获取该市场下货币对的ticker和depth信息.我们从网站上选取4个交易平台:bitfinex.okex.binance.gdax.对应的交易对是BTC/USD,BTC/USDT,BTC/USDT,BTC/USD. 一.ccxt库 开始想着直接请求市场的API,然后再解析获取下来的数据,但到github上发现一个比较好得python库,里面封装好了获取比特币市场的相关函数,这样一来就省掉分析API的时间了.因此我只要传入市场以及对应…