问题标签 [man-in-the-middle]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 中间人攻击 - 如果使用对称密钥,会发生这种攻击吗?
如果我们考虑中间人攻击;如果使用对称密钥会发生这种攻击吗?
ssl - 清楚地捕获 HTTPS 流量?
我有一个与远程 Web 服务对话的本地应用程序(我没有编写,也无法更改)。它使用 HTTPS,我想看看流量中有什么。
有什么办法可以做到这一点吗?我更喜欢 Windows 系统,但如果这能让事情变得更容易,我很乐意在 Linux 上设置代理。
我在考虑什么:
- 通过破解我的主机文件(或设置备用 DNS)重定向网站。
- 在该站点上安装带有自签名(但受信任)证书的 HTTPS 服务器。
- 显然,如果您向 WireShark 提供私钥,它可以看到 HTTPS 中的内容。我从来没有试过这个。
- 不知何故,将此流量代理到真实服务器(即,这是一个成熟的中间人“攻击”)。
这听起来合理吗?WireShark 真的可以看到 HTTPS 流量中的内容吗?谁能指出我合适的代理(以及相同的配置)?
silverlight - 如何在 Silverlight 中验证主机服务器的证书?
我担心我正在编写的 Silverlight 应用程序中的 MITM 攻击。该站点将通过 SSL 运行。如果我的网站是 MITM 攻击的受害者,据我所知,我现在唯一的防御措施是当网站的证书不受信任时浏览器显示的警告页面。由于它只是一个浏览器,它所能做的最好的事情就是警告用户,然后让他们通过。用户可以点击快乐,并且倾向于不阅读内容。因此,他们很可能会阅读此警告,挠头,然后继续访问该站点。我的想法是,由于我正在编写一个健壮的 Silverlight 应用程序,我应该能够检测浏览器是否看到证书错误,或者执行与浏览器相同的验证。然后如果我确定有问题,我可以简单地锁定我的整个应用程序,这样用户就不会向 MITM 公开任何关键信息。我遇到的问题是,我似乎无法在 Silverlight 的有限 .NET 子集中找到正确的类来完成我需要做的事情。有谁知道我可以如何实现这个目标,或者解决这个问题的不同方式?
java - 客户端和服务器之间的安全连接
我正在开发一个服务器组件,它将为嵌入式客户端的请求提供服务,这也在我的控制之下。
现在一切都是测试版,安全性是这样的:
客户端通过 https 发送用户名/密码。
服务器返回访问令牌。
客户端使用自定义标头中的访问令牌通过 http 发出进一步的请求。
这对于一个演示来说很好,但它有一些问题需要在发布之前解决:
任何人都可以复制正如一些用户回答的那样,这不是问题,因为它通过了 https。我的错。login请求,重新发送它并取回访问令牌。任何人都可以通过检查请求标头来监听并获取访问密钥。
我可以想到一个带有时间戳的对称密钥加密,这样我就可以拒绝重复的请求,但我想知道这种场景是否有一些众所周知的良好做法(这似乎很常见)。
非常感谢您的洞察力。
PS:为了以防万一,我在服务器上使用 Java,而客户端是用 C++ 编码的。
https - 使用 https 时防止中间人攻击
我正在写一个类似于 omegle 的小应用程序。我有一个用 Java 编写的 http 服务器和一个 html 文档的客户端。主要的通信方式是通过http请求(长轮询)。
我已经通过使用 https 协议实现了某种安全性,并且我为每个连接到服务器的客户端都有一个 securityid。当客户端连接时,服务器给它一个securityid,当客户端需要一个请求时,它必须总是发回。
我害怕这里的中间人攻击,你有什么建议我可以保护应用程序免受这种攻击吗?
请注意,此应用程序是出于理论目的而构建的,不会出于实际原因使用它,因此您的解决方案不必一定是实用的。
asp.net - 使用传递的其他上下文信息进行安全登录(这也需要安全)
我的 Web 应用程序将通过现有的胖客户端应用程序启动。启动时,将生成一个 HTTP POST 请求,其中包括用户 ID 和其他上下文信息(基本上是目标用户的姓名、生日等信息)等信息。
我的身份验证计划是在数据库中有一个查找表。如果用户名已经存在,则自动登录用户,但如果数据库中没有条目,则将用户重定向到初始登录页面,该页面将用于创建该数据库条目。
我的问题是如何保护它免受 MITM 和其他安全漏洞的影响。通过胖客户端生成的请求如何在 SSL 连接上?SSL 连接是否必须首先使用用户名(和密码)进行身份验证?如果是这样,在用户登录之前,额外的上下文信息会被公开吗?
抱歉,这是一个基本的安全 101 问题。关于在哪里阅读安全基础知识的参考资料也将不胜感激。
https - 证书如何避免中间人攻击?
我对网络安全还有另一个问题。如果我理解正确,证书用于识别您的真实身份。所以中间人攻击是不可能的。但是当我看到这张图片时:
我认为中间人攻击是可能的。您可以从数据中拆分签名、证书。使用您的假数据制作您自己的签名,并将带有假签名(但正确的证书)的假数据发送到服务器/客户端。
在这张照片中我也不明白的是在验证方面检查证书的位置。
谢谢。
SC男孩
security - 在使用密钥进行 SSH 身份验证期间,中间人攻击是否构成安全威胁?
我不是网络安全方面的专家,所以如果这个问题不是很聪明,请原谅:)。我正在使用 ssh 自动登录某些机器。我目前正在避免使用StrictHostKeyChecking no.
我天真地理解有人可以冒充服务器,如果是这种情况,我冒着丢失密码的风险。但是,如果我只使用基于公钥/私钥的身份验证( using PasswordAuthentication no),入侵者还会造成伤害吗?
所以基本上,有ssh -o "StrictHostKeyChecking no" -o "PasswordAuthentication no":
1) 入侵者可以破译我的私钥吗?
2) 是否存在其他安全威胁?
问候,
J.P
c++ - 如何隐藏应用程序中的键?
我有一个 C++ 客户端/服务器应用程序,其中客户端和服务器是我的可执行文件。每次在客户端和服务器之间建立连接时,我都会为该会话生成一个新的加密密钥,并且我希望传输此会话密钥并使用内置于客户端和服务器中的静态密钥加密此会话密钥。
但是,在我的可执行文件上运行字符串会显示静态键。
如何在我的客户端和服务器应用程序中隐藏嵌入式静态密钥,以便不容易提取它们,从而允许有人解码我的会话密钥。