Fiddler抓取https原理？

12-28

我知道有證書，解密瀏覽器請求，然後用自己的證書和伺服器通信，名字似乎叫做man-in-the-middle。但是不知道它是怎麼做到的？
如果要實現的話，是否是需要足夠底層才可以？java的sslserversocket似乎還不夠底層。

首先fiddler截獲客戶端瀏覽器發送給伺服器的https請求，此時還未建立握手。

第一步， fiddler向伺服器發送請求進行握手，獲取到伺服器的CA證書，用根證書公鑰進行解密，驗證伺服器數據簽名，獲取到伺服器CA證書公鑰。

第二步， fiddler偽造自己的CA證書，冒充伺服器證書傳遞給客戶端瀏覽器，客戶端瀏覽器做跟fiddler一樣的事。

第三步，客戶端瀏覽器生成https通信用的對稱密鑰，用fiddler偽造的證書公鑰加密後傳遞給伺服器，被fiddler截獲。

第四步， fiddler將截獲的密文用自己偽造證書的私鑰解開，獲得https通信用的對稱密鑰。

第五步， fiddler將對稱密鑰用伺服器證書公鑰加密傳遞給伺服器，伺服器用私鑰解開後建立信任，握手完成，用對稱密鑰加密消息，開始通信。

第六步， fiddler接收到伺服器發送的密文，用對稱密鑰解開，獲得伺服器發送的明文。再次加密，發送給客戶端瀏覽器。

第七步，客戶端向伺服器發送消息，用對稱密鑰加密，被fidller截獲後，解密獲得明文。

由於fiddler一直擁有通信用對稱密鑰，所以在整個https通信過程中信息對其透明。

Fiddler Web Debugger 中第一個問題：

Fiddler2 使用 man-in-the-middle (中間人) 攻擊的方式來截取 HTTPS 流量。在 Web 瀏覽器面前 Fiddler2 假裝成一個 HTTPS 伺服器，而在真正的 HTTPS 伺服器面前 Fiddler2 假裝成瀏覽器。Fiddler2 會動態地生成 HTTPS 證書來偽裝伺服器。

用https後，流量是不能被劫持的哦

下面的文章有詳細說明

HTTPS 能否避免流量劫持？

近日，看了一篇關於流量劫持的文章《安全科普：流量劫持能有多大危害？》，作者EtherDream以圖文並茂的形式詳細講解了流量劫持及相關知識。「在如今這個講究跨平台、體驗好，並有雲端支持的年代，WebApp 越來越火熱。各種應用紛紛移植成網頁版，一些甚至替代了客戶端。同時，也造就了流量劫持前所未有的勢頭。」小編總結，這裡提到的流量劫持危害，大多跟Http明文傳輸協議的薄弱有關係。

我們來看看流量劫持會帶來什麼危害？

不同的劫持方式，獲得的流量也有所差異。DNS 劫持，只能截獲通過域名發起的流量，直接使用 IP 地址的通信則不受影響；CDN 入侵，只有瀏覽網頁或下載時才有風險，其他場合則毫無問題；而網關被劫持，用戶所有流量都難逃魔掌。

1、http易致在線應用被劫持

網頁技術在近些年裡有了很大的發展，但其底層協議始終沒有太大的改進
—— HTTP，一種使用了 20 多年古老協議。在 HTTP 里，一切都是明文傳輸的，流量在途中可隨心所欲的被控制。而在線使用的 WebApp，流量里既有通信數據，又有程序的界面和代碼，劫持簡直輕而易舉。因此，劫持網頁流量成了各路黑客們的鐘愛，一種可在任意網頁發起 XSS 的入侵方式。

2、公共場合使用http，不登陸也會被劫持

在自己的設備上，大家都會記住各種賬號的登錄狀態，反正只有自己用，也沒什麼大不了的。然而，在被劫持的網路里，即使瀏覽再平常不過的網頁，或許一個悄無聲息的間諜腳本已暗藏其中，正偷偷訪問你那登錄著的網頁，操控起你的賬號了。

3、http狀態下，Cookie 記錄或瀏覽器自動填表單，都會導致賬號密碼被截獲

http狀態下，cookie記錄的都是明文的賬號密碼，被劫持泄露後，即使數量不多，也能通過社工獲取到用戶的更多信息，最終導致更嚴重的泄露。

4、HTTP 緩存投毒

HTTP這種簡單的純文本協議，幾乎沒有一種簽名機制，來驗證內容的真實性。即使頁面被篡改了，瀏覽器也完全無法得知，甚至連同注入的腳本也一塊緩存起來。但凡具備可執行的資源，都可以通過預載入帶毒的版本，將其提前緩存起來。

5、Https能避免劫持嗎？

能！但前提是必須用受信任的SSL證書。

不同於簡單的Http代理，HTTPS 服務需要權威CA機構頒發的SSL證書才算有效。自簽證書瀏覽器不認，而且會給予嚴重的警告提示。而遇到「此網站安全證書存在問題」的警告時，大多用戶不明白是什麼情況，就點了繼續，導致允許了黑客的偽證書，HTTPS 流量因此遭到劫持。

如果重要的賬戶網站遇到這種情況，無論如何都不該點擊繼續，否則大門鑰匙或許就落入黑客之手。

這裡所說的權威CA機構是指已經通過WebTrust國際認證，根證書由微軟預置，受微軟等各類操作系統、主流移動設備和瀏覽器信任的CA機構；在中國還要附加一項，就是要拿到工信部許可的CA牌照；這樣的CA機構，才有權利簽發各類數字證書,比如wosign（沃通）。

自簽證書是指不受信任的任意機構或個人，自己隨意簽發的證書，容易被黑客偽造替換。

6、全站Https的重要性

情況一：從http頁面跳轉訪問https頁面

事實上，在 PC 端上網很少有直接進入
HTTPS 網站的。例如支付寶網站，大多是從淘寶跳轉過來，而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面里注入 XSS，屏蔽跳轉到 HTTPS 的頁面訪問，用 HTTP 取而代之，那麼用戶也就永遠無法進入安全站點了。

儘管地址欄里沒有出現
HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認為不是釣魚網站，因此也就忽視了。

因此，只要入口頁是不安全的，那麼之後的頁面再安全也無濟於事。

情況二：http頁面重定向到https頁面

有一些用戶通過輸網址訪問的，他們輸入了 http://www.alipaly.com 就敲回車進入了。然而，瀏覽器並不知道這是一個 HTTPS 的站點，於是使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在，其唯一功能就是重定向到自己 HTTPS 站點上。

劫持流量的中間人一旦發現有重定向到 HTTPS 站點的，於是攔下重定向的命令，自己去獲取重定向後的站點內容，然後再回復給用戶。於是，用戶始終都是在 HTTP 站點上訪問，自然就可以無限劫持了。

國外各大知名網站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通過Always
on SSL（全站https）技術措施來保證用戶機密信息和交易安全，防止會話攻擊和中間人攻擊。

7、搜索引擎劫持

事實上，HTTPS 站點還有個很大的來源 —— 搜索引擎。遺憾的是，國產搜索引擎幾乎都不提供 HTTPS 服務。

谷歌已開始提供https加密搜索方式。Google在官方博客介紹說，普通的HTTP瀏覽是不安全的，用戶和伺服器之間的通訊會被第三方監聽和干擾，對於Google來說，你在Google搜索的詞語會被第三方截獲，如果第三方不希望你在Google搜索這個詞語，還可以通過技術手段阻止用戶的搜索行為。使用HTTPS的Google搜索中，用戶搜索的信息將無法被第三方獲取，也不會出現數據泄漏的問題，搜索結果頁面也不會被干擾或篡改。

結語

從上面的各類劫持案例中，我們可以看出，Https是很有效的流量劫持防範措施，無論是網路服務提供商還是廣大網民，為咱自己的帳戶安全和權益，都要形成使用https訪問網站的習慣和意識，重要的網站必定使用 HTTPS 協議，登陸時需格外留意！

通過偽造 CA 證書來欺騙瀏覽器和伺服器。簡單來說就是在瀏覽器面前 Fiddler 偽裝成一個 HTTPS 伺服器，而在真正的 HTTPS 伺服器面前 Fiddler 又假裝成瀏覽器，從而實現解密 HTTPS 流量的目的

使用正規的CA機構簽發的HTTPS證書，fiddler就無法劫持流量了。抓到的都是加密過的，無法跟伺服器通訊

代理

6、全站Https的重要性

情況一：從http頁面跳轉訪問https頁面

例如支付寶網站，大多是從淘寶跳轉過來，而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面里注入 XSS，屏蔽跳轉到 HTTPS 的頁面訪問，用 HTTP 取而代之，那麼用戶也就永遠無法進入安全站點了。

這個情況從伺服器的角度可以解決吧，http默認是80埠而https默認是433埠，如果全站是ssl時把訪問80埠的請求重定向回去。這應該可行吧。