- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
如果攻击者在握手之前进行了 MIM 攻击,并且发生了什么,则获取两个公共(public)证书并仅充当监听器。
不要尝试充当一方,只需阅读所有通信即可获取有用信息,例如 JWT token 和有关用户在该网站上所做的其他信息。
鉴于攻击者能够在连接安全之前拦截证书,它可以在握手完成后打开所有数据包,我错了吗?
这可能吗?
最佳答案
是和否,这取决于游戏中的一些其他元素......
在没有 SSL 证书的情况下,答案是肯定的!
怎么做?
让我们考虑一下经典案例,其中 2 个对等点是 Alice 和 Bob,他们试图通过 HTTP 进行通信。
MITM 只能从 Alice 和 Bob 那里得到公钥。不是私钥。即使在原始情况下,Alice 也只能使用 Bob 的公钥加密信息给 Bob,Bob 也只能使用 Alice 的公钥加密信息给 Alice。
“智能”MITM 会做的是替换 channel 中为每一对传递的公钥。换句话说:Alice 发送 Bob 应该收到的 key 。 MITM 将拦截此 key 而不将其传递给 Bob,而是他/她将替换为自己的 key (我们称之为黑客 key ),然后将此黑客 key 传递给 Bob。
对于 Bob 应该发送给 Alice 的 key ,上述相同的事情会在另一个方向上发生。
嗯...现在 Alice 和 Bob 都收到了一个黑客 key ,他们认为 key 是来自另一个对等方的原始 key (因为没有证书),但原始 key 由黑客保留。你有看到?黑客可以只从一方接收信息并解密(因为它是用黑客的公钥加密的),然后用另一方的原始公钥重新加密。就这么简单!
...但如果有 SSL 证书,答案是否定的。
为什么?
因为证书的存在正是为了解决上述这个问题。这意味着,如果来自 Alice/Bob 的公钥实际上属于 Alice 和 Bob,则可以通过数字签名对其进行验证,因此,如果他们使用 SSL 证书,Alice 和 Bob 能够检测到某些 MITM 交换了原始 key .这是如何工作的超出了这个问题的范围,但“作为一个简短的回答”,这两个站点都将“预安装”第三方证书,可用于验证所交换的公钥的真实性。
关于ssl - "man in the middle"攻击 https 可以读取所有通信吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50033054/
如果我打开一个使用 apt 的 Linux shell包管理系统并执行 apt-cache search --names-only "(^man)+"为什么它匹配/输出如下内容: gman - X 的
我正在做一个本应帮助我们更好地在 Linux 系统上浏览命令行的实验室,但我却卡在了手册页上。 我们应该使用 man 命令来查找手册页部分的列表,但我似乎不知道该怎么做。我试过输入 man man 但
您好,我目前正在使用 Little Man Computer对于一个学校项目,我知道 LMC 有一个 ADD 和一个 SUB 功能。但是我知道 LMC 中没有乘法或除法函数,我想知道为什么会这样。 最
我想从字符串 '/?user=hello&user=man&user=' 中提取 'user=' 之后的任何字符串。在这种情况下,我会得到 'hello'、'man' 和 ''。 我被困在这里了: >
Haskell 中每个函数都有手册页吗?换句话说,我可以在某处输入 man fst 并获取有关该函数的手册或帮助页面吗?我发现大量的功能势不可挡! 我正在使用 GHC 和 GHCi。 最佳答案 我不知
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
在 Git Bash 中,他们给我一个返回“man”命令的错误 $ man git bash: man: command not found 我的 Git 版本: $ git --version gi
今天我注意到我的一位主机被困在: systemd[1]: Starting Rotate log files... systemd[1]: Starting Daily man-db regenera
我只想在 shell(或 perl)脚本中获取 MAN 页面的特定部分并打印它。 例如:仅 MAN 页面的 SYNOPSIS 部分 有没有标准的方法来做到这一点? 问候, 阿南丹 最佳答案 据我所知,
一直在阅读 MitB 攻击,有些事情让我担心。 来自 WIKI : The use of strong authentication tools simply creates an increased
我有一个想法,但不知道是否可以这样做: 是否可以编写一个 USB 摄像头驱动程序,该驱动程序可以将视频源多路复用到任何需要它的软件? 一种“中间人”司机:) 最佳答案 如果需要 Linux 驱动程序,
我必须在OpenCV中执行此图像之间的圆形和矩形的检测以及检测: 我正在尝试: import cv2 import numpy as np cv2.namedWindow("jan", cv2.WIN
在我必须调整的软件中,man 文件位于 doc/ 下,还有一个简单的 Makefile.am 文件: man_MANS = software.1 EXTRA_DIST = $(man_MANS) 安装
我已经使用 android studio 开发了一个应用程序并生成了 sign apk 并放到了网络上,但是如果我在设备上下载 apk 文件将其重命名为 .apk 到 .man 并且在我将 .man
在 man git 页面中我读到了这个字符串: See gittutorial(7) to get started, then see Everyday Git[1] for a useful min
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a software
我正在尝试创建一个 man 脚本,但没有成功。我应该将 testScript.1 文件放在我的文件中的哪个位置,以便它可以作为手册页直观地工作? 到目前为止,我已经尝试将其存储在我的主目录中两个新创建
我认为问题已经很清楚了——是否有类似“man”的命令来列出结构成员? 例如“FILE”结构,我想知道包含文件描述符ID的FILE成员。 最佳答案 FILE 是不透明的。成员与你无关,除非你正在破解 C
我正在开展一个项目,该项目应使用从 iPhone 摄像头拍摄的视频或照片来检测人行横道上的“绿人”或“红人”是否亮起。 到目前为止,我已经尝试过图像 mask 、轮廓和特征检测。 我编写的最后一个程序
我正在为一个程序编写手册页,源代码如下所示: .TH prog 1 "26 AUG 2010" "Version 0.1" "Center header" .NAME prog \- runs a p
我是一名优秀的程序员,十分优秀!