與我們合作

我們專注：網(wǎng)站策劃設(shè)計(jì)、網(wǎng)絡(luò)輿論監(jiān)控、網(wǎng)站優(yōu)化及網(wǎng)站營(yíng)銷、品牌策略與設(shè)計(jì)
主營(yíng)業(yè)務(wù)：網(wǎng)站建設(shè)、移動(dòng)端微信小程序開發(fā)、APP開發(fā)、網(wǎng)絡(luò)運(yùn)營(yíng)、云產(chǎn)品·運(yùn)維解決方案

有一個(gè)品牌項(xiàng)目想和我們談?wù)剢?

您可以填寫右邊的表格，讓我們了解您的項(xiàng)目需求，這是一個(gè)良好的開始，我們將會(huì)盡快與您取得聯(lián)系。當(dāng)然也歡迎您給我們寫信或是打電話，讓我們聽到您的聲音

您也可通過(guò)下列途徑與我們?nèi)〉寐?lián)系：

地址: 上海市長(zhǎng)寧區(qū)華寧國(guó)際7L

電話: 400-825-2717(咨詢專線)

電話: 13054973230(售后客戶服務(wù))

網(wǎng) 址: http://www.njgqt.org.cn

傳真: 021-61488448

郵箱: admin@wumujituan.com

快速提交您的需求 ↓

HTTPS真的安全嗎？

發(fā)布日期：2023-12-28 瀏覽次數(shù)：36409

今天看到了一個(gè)大佬，使用抓包軟件對(duì)某些看廣告給金幣的軟件進(jìn)行修改，我大概看了一下教程，使用抓包軟件抓取看完視頻后對(duì)服務(wù)器端發(fā)送的POST請(qǐng)求來(lái)達(dá)到刷金幣的目的，過(guò)程中使用的安卓虛擬機(jī) ROOT權(quán)限 MT管理器 HTTPcanary(抓包軟件)
啟動(dòng)虛擬機(jī)后安裝MT管理器，然后在真機(jī)中安裝HTTPcanary，安裝證書（用于解密HTTPS協(xié)議），然后導(dǎo)出證書，在虛擬機(jī)中導(dǎo)入，給MT管理器授權(quán)ROOT后，把導(dǎo)出的證書放進(jìn)系統(tǒng)的system文件夾下存儲(chǔ)證書的文件夾內(nèi)，這樣就可以解密HTTPS了
打開“賺錢軟件”，啟用抓包，觀看廣告視頻后，會(huì)向服務(wù)器發(fā)送一個(gè)POST請(qǐng)求，來(lái)表示用戶已經(jīng)觀看完廣告，可以給用戶金幣。服務(wù)端呢會(huì)返回一個(gè)json，json中包含了用戶獲得的金幣數(shù)量。

可以看到獲得的金幣為15827，這個(gè)數(shù)字是由服務(wù)器返回的json得到，展示給用戶的
就是這個(gè)金幣數(shù)量，導(dǎo)致那些人找到了洞，因?yàn)檫@個(gè)數(shù)量可以在后面看到，通過(guò)抓包軟件查找獲得的金幣，即可輕松找到發(fā)送到POST請(qǐng)求

這里由于出教程的人已經(jīng)知道金幣數(shù)量對(duì)應(yīng)的鍵名，所以他直接搜索的鍵名redbag，不用記數(shù)字了
找到發(fā)送到POST請(qǐng)求之后，只需要進(jìn)行重發(fā)，也就是我們手動(dòng)發(fā)送一個(gè)POST給到服務(wù)器，這時(shí)即使我們沒(méi)看視頻，但是我們發(fā)送了POST給服務(wù)器，服務(wù)器就認(rèn)為我們已經(jīng)看了這次視頻，就會(huì)給用戶增加金幣，從而達(dá)到刷金幣的目的
我們接著往下看，可以看到服務(wù)器返回的json內(nèi)容

這時(shí)我們已經(jīng)抓取到需要向服務(wù)端發(fā)送POST請(qǐng)求的那一條鏈接了

接下來(lái)就是進(jìn)行重發(fā)即可到達(dá)刷金幣的目的了，當(dāng)然如果太頻繁的話，賺錢軟件的后臺(tái)也可以看到，就把你賬號(hào)封了

其實(shí)這個(gè)漏洞本來(lái)可以避免的，加上token，加上請(qǐng)求限制，為什么沒(méi)加，估計(jì)開發(fā)者可能沒(méi)想到會(huì)有人這樣干，那么既然我加了HTTPS，為什么還是能被解密呢，HTTPS還有用嗎？
其實(shí)HTTPS可以防止用戶在不知情的情況下通信鏈路被監(jiān)聽，對(duì)于主動(dòng)授信的抓包操作是不提供防護(hù)的，因?yàn)檫@個(gè)場(chǎng)景用戶是已經(jīng)對(duì)風(fēng)險(xiǎn)知情。要防止被抓包，需要采用應(yīng)用級(jí)的安全防護(hù)，例如采用私有的對(duì)稱加密，同時(shí)做好移動(dòng)端的防反編譯加固，防止本地算法被破解
要想不被不發(fā)分子破解，只能是在本地加上驗(yàn)證，比如檢測(cè)用戶設(shè)備有沒(méi)有使用代理軟件，有沒(méi)有開啟加-速-器，有沒(méi)有啟動(dòng)抓包軟件，這個(gè)很顯然就是開發(fā)者沒(méi)有想到這一情況
可能有人會(huì)問(wèn)，我的證書牛逼，銀行級(jí)別的證書，其實(shí)這個(gè)我認(rèn)為和證書沒(méi)關(guān)系，騰訊的證書夠牛逼吧，也同樣被人使用抓包軟件鉆過(guò)漏洞（騰訊在一個(gè)晚上發(fā)現(xiàn)了這一漏洞，并修復(fù)）
所以我認(rèn)為，如果不是大公司，用免費(fèi)的證書就可以了，足以抵御用戶在不知情的情況下通信鏈路被監(jiān)聽
上面說(shuō)的這個(gè)軟件的漏洞和騰訊的那個(gè)漏洞，這個(gè)漏洞已經(jīng)能傳到我這里，并且我測(cè)試并沒(méi)有修復(fù)的時(shí)候，說(shuō)明這個(gè)漏洞已經(jīng)被別人賺夠了錢，怕被抓，故意放出來(lái)的，誰(shuí)會(huì)把賺錢的方法免費(fèi)告訴你呢？那就肯定是他已經(jīng)賺夠了，所以抓包需謹(jǐn)慎，不然就和吳簽一起吃飯了
（原創(chuàng)內(nèi)容，不是專業(yè)人員，僅代表個(gè)人想法，歡迎大佬反駁~我是個(gè)小白）