速读摘要文章源自JAVA秀-https://www.javaxiu.com/22920.html
用于将加密的https报文解密,将明文的http报文字段呈现出来,方便调试排错http。key给Wireshark,于是Wireshark将录像解密了出来,导演看看哪个细节出问题了。换句话说,如果给任何https服务器证书签名,这台机器及浏览器会信任吧?Fiddler作为客户端,与Bob服务器正常https流程,双方也达成了另一组加密/解密key。如果导演只是安装Fiddler软件,而没有信任Fiddler自签名证书,打死Fiddler它也解不开AES GCM加密的https流量!文章源自JAVA秀-https://www.javaxiu.com/22920.html
原文约 874 字 | 图片 4 张 | 建议阅读 2 分钟 | 评价反馈文章源自JAVA秀-https://www.javaxiu.com/22920.html
为何Fiddler可以解密https,而Wireshark却不可以?
菜鸟要飞 文章源自JAVA秀-https://www.javaxiu.com/22920.html
以下文章来源于车小胖谈网络,作者车小胖谈网络文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html 文章源自JAVA秀-https://www.javaxiu.com/22920.html 车小胖谈网络文章源自JAVA秀-https://www.javaxiu.com/22920.html 计算机网络学习从入门到精通文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
HTTPS采用高安全性的TLS加密,可为什么Fiddler抓到HTTPS的包能解密?文章源自JAVA秀-https://www.javaxiu.com/22920.html
Fiddler是干嘛的?文章源自JAVA秀-https://www.javaxiu.com/22920.html
用于将加密的https报文解密,将明文的http报文字段呈现出来,方便调试排错http。文章源自JAVA秀-https://www.javaxiu.com/22920.html
为何不用Wireshark呢?文章源自JAVA秀-https://www.javaxiu.com/22920.html
Wireshark不方便,但是不方便并不代表wireshark不能将加密的https报文解密出来!文章源自JAVA秀-https://www.javaxiu.com/22920.html
Wireshark如何解密https报文呢?文章源自JAVA秀-https://www.javaxiu.com/22920.html
浏览器可以将一个https session的加密/解密key提取(export)出来,将其输入(import)到Wireshark,然后就可以解密https session了。文章源自JAVA秀-https://www.javaxiu.com/22920.html
浏览器(https client)与https server整个通信过程,wireshark全程没有参与,只是被动地监听录像,等人家两口子完事后,导演(调试https程序员)想看回放。于是import key给Wireshark,于是Wireshark将录像解密了出来,导演看看哪个细节出问题了。文章源自JAVA秀-https://www.javaxiu.com/22920.html
Passive Mode文章源自JAVA秀-https://www.javaxiu.com/22920.html
通常称Wireshark这种被动录像的工作模式为passive mode。这种模式不是非常方便,因为导演每看一次录像回放,都需要手动export/import一次key,非常麻烦。导演寻思着,有没有更便捷的回看录像的工具,每次可以直接看加密的录像?文章源自JAVA秀-https://www.javaxiu.com/22920.html
有的,这个工具就是Fiddler。与Wireshark工作模式相反,Fiddler的录像功能是active mode,即主动参与模式,什么意思呢?文章源自JAVA秀-https://www.javaxiu.com/22920.html
Active Mode文章源自JAVA秀-https://www.javaxiu.com/22920.html
Fiddler需要全程参与整个https通信过程,Fiddler需要假冒服务器的身份来欺骗客户端。文章源自JAVA秀-https://www.javaxiu.com/22920.html
怎么来欺骗客户端?文章源自JAVA秀-https://www.javaxiu.com/22920.html
导演将Fiddler安装在客户端的机器上,随同软件一起安装的还有Fiddler的自签名证书。意味着这台机器充分信任这个自签名证书、以及使用这个证书私钥签名的任何证书。换句话说,如果给任何https服务器证书签名,这台机器及浏览器会信任吧?文章源自JAVA秀-https://www.javaxiu.com/22920.html
会的!文章源自JAVA秀-https://www.javaxiu.com/22920.html
信任逻辑一旦达成,接下来的细节其实不是很重要了。文章源自JAVA秀-https://www.javaxiu.com/22920.html
Alice试图https联系Bob。文章源自JAVA秀-https://www.javaxiu.com/22920.html
Alice:亲爱的Bob,是你吗?文章源自JAVA秀-https://www.javaxiu.com/22920.html
Fiddler:是我,我是Bob(将自己签名的证书掏出来给Alice看)文章源自JAVA秀-https://www.javaxiu.com/22920.html
Alice信了,于是与Fiddler协商了加密/解密key。文章源自JAVA秀-https://www.javaxiu.com/22920.html
Fiddler 作为客户端,与Bob服务器正常https流程,双方也达成了另一组加密/解密key。文章源自JAVA秀-https://www.javaxiu.com/22920.html
由于Fiddler两组Key都知道,所以可以毫无压力实时解密https流量。文章源自JAVA秀-https://www.javaxiu.com/22920.html
导演可以一直盯着摄像机,可以实时查看Alice与Bob的交互细节。文章源自JAVA秀-https://www.javaxiu.com/22920.html
如果导演只是安装Fiddler软件,而没有信任Fiddler自签名证书,打死Fiddler它也解不开AES GCM加密的https流量!文章源自JAVA秀-https://www.javaxiu.com/22920.html
所以并不是说https加密算法不行,而是为了方便调试加密的https,而设计的一款软件,利用了https认证环节的特点。文章源自JAVA秀-https://www.javaxiu.com/22920.html
为何Fiddler解不开一些手机APP的https流量?文章源自JAVA秀-https://www.javaxiu.com/22920.html
设计APP的导演们,深深滴知道https认证环节易于被利用,类似Fiddler中间人工具,那么加密的流量自然会被实时解密。为了避免被中间人欺骗,一些APP只信任几个特定的权威CA签名的证书,其它的证书统统无效,中间人欺骗的把戏就玩不下去了!文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
最后,奉上两大抓包神器:Fiddler和Wireshark的视频教程!也是费了不少劲才整理出来的,有需要的抓紧保存吧!文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
如何获取呢?文章源自JAVA秀-https://www.javaxiu.com/22920.html
识别下方二维码,关注后回复【抓包】文章源自JAVA秀-https://www.javaxiu.com/22920.html
没有任何套路!文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
文章源自JAVA秀-https://www.javaxiu.com/22920.html
评论