如果我在服务器和Android客户端之间交换https数据包,那么android客户端的用户是否可以轻松获取加密流量中的任何内容?如果安全性取决于用户无法以某种方式读取https数据包中的内容,我是否应该认为所有此类流量都不安全?
答案 0 :(得分:1)
可以通过几种方法检查HTTPS数据包的内容。 man-in-the-middle-attack可能会危及HTTPS流量。通过中间人,恶意的第三方拦截试图通信和检查或改变其消息的双方之间的消息。使用HTTPS,第三方充当代理,并且需要欺骗一方信任他们发出的证书,以便第三方可以解密他们的SSL连接。
用户还可以在将自己的流量发送到您的服务器之前对其进行代理。使用OWASP ZAP或Burp Suite等工具,用户可以设置代理来拦截自己的流量。用户可以看到他们发送的每个请求的内容,以及来自服务器的每个响应,即使使用HTTPS连接也是如此。使用拦截代理,他们甚至可以更改Android设备发送到您的服务器之前所做的请求。从本质上讲,用户对自己使用中间人攻击。
简而言之,用户可以找到方法轻松查看进出自己设备的HTTPS流量。
答案 1 :(得分:0)
有简单的代理攻击,用户可以通过一些技巧轻松地查看未加密的数据。
为了避免这些相对简单的攻击,请使用https与服务器支持TLS 1.2并完善前向保密(当前最佳实践)并将证书固定在应用程序中。这将排除轻松的代理攻击,例如Charles Proxy。
注意:很难从设备上完全保护设备上的任何内容。