科普：安全測(cè)試基礎(chǔ)之HTTPS

不知道小伙伴注意到?jīng)]有，不知不覺中，我們常用的網(wǎng)站都已經(jīng)采用了HTTPS加密；Chrome把HTTP網(wǎng)站標(biāo)記為不安全，Apple要求所有IOS App全部采用HTTPS加密。那么本期我們就來(lái)介紹一下HTTPS。

01

HTTPS介紹

要介紹HTTPS，先得說(shuō)一下HTTP。

HTTP協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）是因特網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)傳輸協(xié)議，所有的WWW文件都必須遵守這個(gè)標(biāo)準(zhǔn)。

HTTP 協(xié)議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風(fēng)險(xiǎn)，于是，誕生了HTTPS。簡(jiǎn)單來(lái)說(shuō)HTTPS是HTTP的安全版，是使用 TLS/SSL 加密的 HTTP 協(xié)議。TLS/SSL 具有身份驗(yàn)證、信息加密和完整性校驗(yàn)的功能。

02

TLS介紹

TLS（Transport Layer Security，安全傳輸層），TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議，服務(wù)于應(yīng)用層，它的前身是SSL（Secure Socket Layer，安全套接字層），它實(shí)現(xiàn)了將應(yīng)用層的報(bào)文進(jìn)行加密后再交由TCP進(jìn)行傳輸?shù)墓δ堋?/p>

我們一起來(lái)回顧一下SSL/TLS的發(fā)展歷程：

SSL 1.0 版本從未公開過(guò)，因?yàn)榇嬖趪?yán)重的安全漏洞。

1995年：SSL 2.0 版本在1995年2月發(fā)布，但因?yàn)榇嬖跀?shù)個(gè)嚴(yán)重的安全漏洞而被3.0版本替代。

1996年：SSL 3.0 寫成RFC，開始流行。目前（2015年）已經(jīng)不安全，必須禁用。SSL 3.0的漏洞允許攻擊者發(fā)起降級(jí)攻擊。

1999年：TLS 1.0 互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織ISOC接替NetScape公司，發(fā)布了SSL的升級(jí)版TLS 1.0版。

2006年：TLS 1.1 作為 RFC 4346 發(fā)布。主要修復(fù)了CBC模式相關(guān)的如BEAST攻擊等漏洞。

2008年：TLS 1.2 作為 RFC 5246 發(fā)布 。提供現(xiàn)代加密算法（AEAD），增進(jìn)安全性，目前主要使用的版本。

2018年：TLS 1.3 作為 RFC 8446 發(fā)布。，支持0-rtt，大幅增進(jìn)安全性，砍掉了AEAD之外的加密方式。

目前通過(guò)wireshark抓包，可以看到，使用的都是 TLS 1.2，同時(shí)window服務(wù)器應(yīng)該禁用默認(rèn)的 SSL 2.0 和 SSL 3.0 只啟用 TLS 1.2 保證安全。

03

HTTPS就絕對(duì)安全了嗎

HTTPS就絕對(duì)安全了嗎，也不是，下面說(shuō)一種攻擊方式--中間人攻擊：

你以為你在跟服務(wù)器通信，其實(shí)不是……

在我們測(cè)試工作中，會(huì)用fiddler或者burpsuite抓取https包，利用的就是中間人攻擊這個(gè)原理。