SSLStrip 终极版 :location 瞒天过海
14产品经理 产品专家 发布于 2019-03-06
前言 之前介绍了 HTTPS 前端劫持 的方案,虽然很有趣,然而现实却并不理想。其唯一、也是最大的缺陷,就是无法阻止脚本跳转。若是没有这个缺陷,那就非常完美了 —— 当然也就没有必要写这篇文章了。 说到底,还是因为无法重写 location 这个对象 —— 它是脚本跳转的唯一渠道...
阅读(127)赞 (0)
产品经理 产品专家 发布于 2019-03-06
前言 之前介绍了 HTTPS 前端劫持 的方案,虽然很有趣,然而现实却并不理想。其唯一、也是最大的缺陷,就是无法阻止脚本跳转。若是没有这个缺陷,那就非常完美了 —— 当然也就没有必要写这篇文章了。 说到底,还是因为无法重写 location 这个对象 —— 它是脚本跳转的唯一渠道...
阅读(127)赞 (0)
产品经理 产品专家 发布于 2019-03-06
抽象: SSL/TLS是一个看似简单的技术。非常容易部署和让她跑起来,但是…她真的跑起来了吗。第一部分是真的—SSL很容易部署—但是她并不是那么容易正确的部署。为了保证SSL提供安全性,用户必须投入额外的精力去配置她。 2009年,我们在SSL Labs( https://www...
阅读(141)赞 (0)
产品经理 产品专家 发布于 2019-03-06
摘要: SSL/TLS是一个看似简单的技术。非常容易部署和让她跑起来,但是…她真的跑 起来了吗?第一部分是真的 —— SSL确实容易部署 —— 然而正确部属她并不容易。 为了确保TLS提供安全性,系统管理员和开发者必须投入额外的精力,去配置服务器和 编写应用程序。 2009年,我...
阅读(148)赞 (0)
产品经理 产品专家 发布于 2019-03-06
互联网的通信安全,建立在SSL/TLS协议之上。 本文简要介绍SSL/TLS协议的运行机制。文章的重点是设计思想和运行过程,不涉及具体的实现细节。如果想了解这方面的内容,请参阅RFC文档。 一、作用 不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三...
阅读(113)赞 (0)
产品经理 产品专家 发布于 2019-03-06
HTTP 是过去很长一段时间我们经常用到的一种传输协议。HTTP 协议传输的数据都是 未加密的,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能 被泄露、窃取、篡改,被黑客加以利用,因此使 HTTP 协议传输隐私信息非常不安全。 HTTPS 是一种基于 SSL...
阅读(96)赞 (0)
产品经理 产品专家 发布于 2019-03-06
获取证书 以www.baidu.com域名为例 选择环境为“Nignx/Tengine”下载获得SSL证书文件 www.baidu.com.crt 和私钥文件 www.baidu.com.key。 www.baidu.com.crt 文件包括两段证书代码 -----BEGIN C...
阅读(168)赞 (0)
产品经理 产品专家 发布于 2019-03-06
获取证书 选择证书环境 IIS6/7/8 下载获得文件如 www.123.com.pfx,www.123.com_password.txt。 证书安装 打开IIS服务管理器,点击计算机名称,双击‘服务器证书’ 双击打开服务器证书后,点击右则的导入 选择证书文件,如果输入申请证书时...
阅读(135)赞 (0)
产品经理 产品专家 发布于 2019-03-06
获取1元SSL证书。 导入SSL证书 开始 -〉运行 -〉MMC,启动控制台程序 -> 选择菜单“文件 -〉添加/删除管理单元”-> “添加”->“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”。在控制台的左侧显示证书树形列表,选择“个人”...
阅读(118)赞 (0)
产品经理 产品专家 发布于 2019-03-06
获取证书 以www.baidu.com域名为例 选择环境为“Apache”下载证书。 下载好之后解压得到以下文件: chain.crt 、www.baidu.com.crt、www.baidu.com.key chain.crt 文件包括一段证书代码 ——-BEGIN CERTI...
阅读(131)赞 (0)
产品经理 产品专家 发布于 2019-03-06
获取证书 由于Tomcat和Apache类似,所以证书可以通过 Apache 接口配置,使用证书和私钥文件完成配置 证书安装 配置SSL连接器,证书解压至Tomcat安装目录下的conf/ssl目录下,没有ssl目录的创建一个、然后配置同目录(Tomcat安装目录 conf/目录...
阅读(120)赞 (0)