解析某哇云 自动实现Netflix/P站等站点自动VIP原理

先说结论:中间人攻击

假设我们先不讨论HTTPS加解密问题,仅讨论HTTP的情况

那么此时传输的数据,中间人可以随意修改的!此时仅需将浏览器发送给节点的请求中的几个站点的用户权限验证TOKEN替换即可(大致如此)

至于HTTPS的问题,不是需要安装证书吗,安装证书后就可以对HTTPS流量进行中间人攻击了(针对浏览器这里可以,但是如果是客户端版本可能不行,因为客户端可能会客户端直接写死证书。直接不关心你系统信任了什么证书!)

但是速蛙这么做以后,其实对用户的安全有很大的影响~

本来普通用户使用做别人开的飞机场的飞机,HTTPS流量还是安全的(仅能看到Host和端口)

一旦客户端安装了他的证书以后,,,,你的所有https流量都可以解密了(当然应该也是看这个证书针对的域名吧,如果这个证书仅针对这几个域名那倒也无所谓,但是假设是所有的,那么,,,,,就不存在安全了,完全是裸奔)连你登录一个网站的账号密码都能看到(假设这个网站前端没有对账号和密码进行加密传输,但是其实即使加密传输也没用,前端加密都是js完成的,去查一下代码就能解出来)

这个技术在这个场景其实还是不错的,只要不是针对所有域名(仅针对解锁的几个网站的域名的话)

但是还是要告诫一下,如果自己不懂其原理,确定其风险,尽量不要在自己设备上安装别人提供的证书

海南省网友说:大佬能不能做个简易版 给我们学习下

我可以提供会员账号等信息

吉林省网友说:是的 https 是互联网安全的最后一道基石, 使用了别人的证书, 就相当于全程 http 了,你的所有请求对他来说都是明文的. 慎重安装任何证书.

吉林省网友说:写的不错  帮顶

河北省网友说:应该可以顺手解析各种密码密钥cookie?

山西省网友说:看证书

© 版权声明
THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发