- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我正在构建一个充当代理的网站记录器,以便持续测试网络抓取工具。它分为三个 Docker 容器,全部在 GNU/Linux 上:(1) 一个代理,(2) 一个 API 和请求队列,以及 (3) 一个简单的网络应用程序。
它适用于 HTTP 站点:我单击 Web 应用程序中的一个按钮,这会向 API 容器发出请求,然后向内部请求队列添加一些内容,然后通过代理请求该站点。代理在网站通过时记录该网站。
但是,我忘记了不能记录HTTPS站点流量,现在我来实现这个,我发现代理只是使用CONNECT
动词,然后充当客户端和目标之间的数据交换器。我相信我无法重放相同的数据 block ,因为加密的一部分使用了随机化的、一次性的、对称 key (但是我有一个适合测试这个的脚本,所以我这样做只是为了教育值(value)!)。
所以,我想知道我的抓取客户端是否可以为代理系统提供足够的 secret 来解码字节流?我正在使用 Wget 进行提取,我猜这将使用 OpenSSL。不过它不需要是 Wget:如果我使用带有 file_get_contents
的 PHP 脚本有了流上下文,我可以问 openssl module用于解密 key ?
(公平地说,即使可能,我也不会以这种方式解决问题,我只是觉得多了解一点 TLS 会很有趣。在实践中,我会记录一个“null”针对代理中所有安全网站的条目,并要求请求服务通过 API 调用通知 header /正文数据的代理,以便稍后播放。他们当然会有这些项目的明文副本)。 p>
最佳答案
是的,我认为您在这里有几个选择。
HTTPS 专门用于阻止 "Man in the Middle" attacks和窃听者,这基本上就是你想要实现的目标。不过,您可以打破它的一些假设并打败它。
在 SSL 连接开始时,1. 远程服务器提供其公钥和证书,2. 客户端验证证书,3. 发送使用服务器公钥加密的 session key 。有关详细信息,请参见例如An overview of the SSL or TLS handshake
在您描述的情况下,您有两种可能的方法来规避此保护:
由于您控制着通信 channel ,您可以在步骤 (1) 中用您控制的公钥和证书替换服务器的公钥和证书。如果您随后使用 --no-check-certificate
参数要求客户端跳过步骤 (2) 到 wget
,您就可以完全访问加密数据。
这就是 Fiddler 调试代理允许访问 HTTPS 流量的方式,请参阅 https://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp
由于客户端应用程序知道 session key ,如果您可以提取它,您就可以解密流。我认为这就是您在问题中的想法。
wget
本身没有允许记录 session key 的选项(参见“HTTPS (SSL/TLS) Options”),但它看起来确实像它的 TLS 库,“GnuTLS
”有一个调试选项,将执行您想要的操作,请参阅 "Debugging and auditing" in the GnuTLS docs :
SSLKEYLOGFILE
When set to a filename, GnuTLS will append to it the session keys in the NSS Key Log format. That format can be read by wireshark and will allow decryption of the session for debugging.
尝试将 SSLKEYLOGFILE
环境变量设置为文件名,然后查看 wget
是否会将您的 TLS session key 记录到该文件?您可能需要使用 GnuTLS
的调试版本重新编译 wget
。我自己还没有尝试过。
关于php - 我可以从 HTTP 客户端获取 TLS secret 来解密我自己的 HTTPS 对话吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43094320/
我有一个 C# 应用程序调用 Java 网络服务来验证用户密码。我想让 C# 应用程序加密密码,然后让 Java Web 服务解密密码。我已经完成了 Java 端的代码(解密代码),但我无法找出 C#
我正在使用以下代码在使用 openssl 的 Windows 中使用 C 加密和解密二进制数据。如您所见,在这两个函数中,我都知道纯文本的大小。有什么方法可以在不知道纯文本大小的情况下解密消息? #i
已关闭。此问题需要 debugging details 。目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and the
我有一个非常恼人的问题,Java中使用RSA算法对字符串进行不可靠的加密和解密。它似乎只能在大约 35% 的时间内工作,而且我不明白为什么它有时能工作,有时却不能。这是我写的一些测试代码,试图验证加密
我已经设法编写了用于文件加密/解密的函数。但它非常慢,尤其是随着文件大小的增加。例如几MB长的音频/视频文件 我几乎浏览了所有帖子来改进它,并尝试更改算法。如果有任何更改可以帮助我提高性能,请帮助我。
我正在尝试让我的转置密码发挥作用。 每当我将加密方法得到的密文输入解密方法时,我应该得到原始的明文......但事实并非如此...... 我做错了什么? 感谢您的帮助! public String E
我正在使用密码来加密和解密消息: public String encrypt(String string) throws InvalidKeyException, IllegalBlockSizeEx
我有一个在 MySQL 中存储数据的 spring-mvc 堆栈。其中一些数据需要保护,所以我想我应该加密它。由于我以后可能需要使用这些数据(信用卡、SSN 等),所以我需要对其进行解密。我认为这排除
作为一名SEOER,都想了解百度算法,通过算法原理来找到捷径的优化方案,那么今天我把研究多年的百度算法原理解密给大家,可能不是最好的,但是我可以给大家保证,这些都是非常实际的。希望给SEOER带来一
我试图找到一种技术来加密和解密程序中的文件,而无需将密码硬编码到程序中,也无需向用户询问密码。 如果我也可以从我正在编写的另一个程序中解密文件,那就太好了。 到目前为止,我还没有多少运气找到一种看起来
有没有一种方法可以使用作为字符串参数传递给程序的私钥而不是使用存储在机器上的证书来解密 PowerShell 中的 RSA?欢迎任何帮助,我的代码如下。 Function Decrypt-Asymme
通过问题Is it possible to use the Grails Jasypt plugin outside the GORM layer for simple String encrypti
我需要解密/加密我的域类中的几列,并且正在寻找有关如何做的信息。我已经找到了jasypt加密插件,但不幸的是它似乎与Grails 2.4不兼容。 我可能可以将一些东西拼凑在一起,但是想要确保Im遵循最
我需要有关声音文件加密/解密的帮助。我想在存储这个声音文件时加密一个声音文件,并在播放这个文件时解密它。我阅读了有关 java 中的加密/解密以及 java 中可用于此的大量示例代码。但这些程序不适用
我很感兴趣是否可以使用 Excel Visual Basic 和某些加密服务提供程序进行字符串加密/解密。 我找到了一个演练 Encrypting and Decrypting Strings in
我们正在使用加密/解密和UIIMAGE。如果我们在不保存到iphone画廊的情况下进行加密和解密以及UIIMAge,则可以正常工作,但是,如果我们进行加密,保存到画廊,将(加密的图像)加载到应用程序中
我正在做一个像这样的简单程序: package rsaexample; import java.io.*; import java.math.BigInteger; import java.secur
我发现这段代码返回给定字符串的校验和。 public static String getChecksum(String md5) { int counter = 0; while (c
我在 Java SE 和 Android 项目上使用相同的代码。在 Java 和 Android 中运行的应用程序连接到相同的 MQTT 代理并交换消息。消息使用 AES 进行加密/解密。我对 Jav
我想在 openssl/libcrypto 中使用 RSA 加密/解密一个长文件(我知道 AES 更好,但这只是为了比较)。我将输入文件分成大小为 numBlocks = inputFileLengt
我是一名优秀的程序员,十分优秀!