众所周知,https可以保护数据传输的安全,防止黑客监听、窃取和篡改传输的数据,避免中间人攻击。一般认为,只要网站启用了https协议,数据传输就是安全的。然而,真的是这样吗?2014年,波兰计算机安全应急小组发表文章,内容如下:“多款家用路由器存在未授权远程修改配置漏洞,导致此次事件。黑客通过网银页面注入JavaScript代码,诱骗用户输入账户密码或验证码,最后从用户银行盗取钱款。”这件事让很多人都非常不解。大多数人只听说过DNS劫持只能发生在http上。他们从来没有听说过DNS劫持也可以发生在https上。https不安全!什么是https?简单的说,https就是http的升级版。在http下增加了SSL层,以达到保护数据传输安全的目的。https主要利用数字证书、加密算法、非对称加密等技术实现互联网传输安全保护。它具有三个作用:1.数据保密性,保护数据内容在传输过程中不被第三方查看。就好像商家把商品包裹严实,用快递寄给你,其他人无从知晓包裹里装的是什么东西。2.数据完整性及时检测传输内容被第三方篡改。就好比快递包裹到了你手里,发现包裹破了,我们能及时发现并拒收。3.身份验证保护数据以达到用户期望的目的地。正如商家要求买家提供手机号码和地址等详细信息一样,身份验证用于确保送货到正确的地方。发生攻击为什么DNS劫持也会发生在https上?原来,黑客使用了一种名为SSLStrip的工具,可以阻止用户与https网站建立连接,进行中间人劫持。SSLStrip的工作过程是:发起中间人攻击,切断http请求流量,将所有https链接替换为http,使用http连接受害主机,同时建立https连接与网站服务器的所有受害主机和网站服务器之间的通信请求,都是由黑客的服务器转发的,要完成攻击,SSLStrip还需要解决一个问题。如果用户访问http,浏览器会发出警告,提醒用户没有使用SSL加密。为了解决这个问题,SSLStrip会重写URL,在域名前加上前缀“ssl-”来迷惑用户。在攻击过程中,黑客利用SSL剥离技术实现了中间人攻击。之前自己和银行之间建立https,但是用户和自己之间是http。可见黑客还是没有办法攻破https。只是很多人有一个误区。为网站安装SSL证书并不意味着网站与浏览器之间的数据传输是安全的。黑客虽然无法绕过https的保护,但仍然可以通过其他方式盗取用户密码。数据。
