有人可以使用fiddler查看通过https传输的数据吗?
有人请告诉我这不对。阅读this链接,似乎可以通过提琴手解密https流量。这是否意味着如果我通过https进行网上银行,可以拦截此流量的人可以读取我的帐户并锁定关键信息?
3 个答案:
答案 0 :(得分:6)
Fiddler要求您为其安装特殊的SSL根证书,以便能够侦听HTTPS流量。安装后,Fiddler可以将自己安装为代理(中间人),伪装成互联网上的每个HTTPS站点。简而言之,是的,它可以通过HTTPS收听所有内容,但您需要先在您的计算机上手动安装证书以允许它。
理论上,您在计算机上安装的任何根证书(无论是否为Fiddler)都会允许生成它的人冒充任何互联网站点,所以在不考虑其后果的情况下永远不要这样做。
在SSL术语中,Fiddler所做的是将其自身安装为您计算机上的证书颁发机构。当您访问作为中间人的HTTPS站点时,它会快速生成声称是相关站点的证书。由于根证书在您的计算机上,它将信任Fiddler的证书并愉快地让它解密所有内容。
答案 1 :(得分:4)
Fiddler将使用自己的SSL证书充当Man in the Middle,从而触发浏览器警告。如果你被这些警告所吸引,那么没有人会窥探你的网上银行会话。
有关其工作原理的更多信息,请参阅public-key cryptography。
答案 2 :(得分:0)
您必须接受fiddler颁发的ssl证书,但是您可以使用fiddler监控ssl流量。如果你深入挖掘一下,有更复杂的MITM攻击工具,如:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?