能力值:
( LV2,RANK:10 )
|
-
-
2 楼
透明劫持。 打赏
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
mitmproxy+transparent
|
能力值:
( LV1,RANK:0 )
|
-
-
4 楼
https请求数据传输过程中经过了加密的SSL/TLS协议,保证了数据的安全性。因此,想要劫持https请求不是一件容易的事情。
一般来说,路由器能够劫持https请求主要是因为它能够获取到浏览器和目标网站之间的SSL/TLS证书,从而实现了中间人攻击。
以下是一些可能用到的方法:
在路由器上安装证书:可以在路由器上安装一个自签发的证书,虽然它不被浏览器所信任,但如果用户在浏览器里安装这个证书,那么就可以劫持用户的https请求了。
DNS欺骗:路由器可以通过修改DNS设置将被请求的网址指向一个假的网站,从而获取到用户的https请求数据。
HTTP劫持:路由器可以通过注入一些特定的HTTP响应头来使浏览器强制使用HTTP而不是HTTPS协议。
需要注意的是,劫持https请求是一种非法行为,目前大多数主流浏览器都会对此进行检测并发出警告。同时,一些网站也采用了额外的防御措施,例如HTTP Public Key Pinning(HPKP)、HTTP Strict Transport Security(HSTS)等,使劫持更加困难。
|
能力值:
( LV1,RANK:0 )
|
-
-
5 楼
谢谢大家
最后于 2023-4-22 20:58
被虚心学习w编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
6 楼
forpubtest
mitmproxy+transparent
请问,mitmproxy依然需要在路由器内网的机器上配置证书,这个很难通过路由器实现吧。
|
能力值:
( LV1,RANK:0 )
|
-
-
7 楼
mb_lptdqnlo
https请求数据传输过程中经过了加密的SSL/TLS协议,保证了数据的安全性。因此,想要劫持https请求不是一件容易的事情。
一般来说,路由器能够劫持https请求主要是因为它能够获取到浏览 ...
这位师傅,dns劫持已经尝试过,但是公网环境不太行,基于云服务器搭建的公网DNS服务器无法生效。想请问下您说的这个 路由器怎么去安装自签发的证书呢? 还有注入一些特定的HTTP响应头来使浏览器强制使用HTTP而不是HTTPS协议,注入响应头怎么实现https降级效果,谢谢 。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
建议还是在安卓设备上安装证书,局限性会小一些。
|
能力值:
( LV1,RANK:0 )
|
-
-
9 楼
forpubtest
建议还是在安卓设备上安装证书,局限性会小一些。
要求是不能对安卓设备做过多操作,唯一前提是安卓设备发出软件更新请求
|
能力值:
( LV1,RANK:0 )
|
-
-
10 楼
zhatian
透明劫持。 打赏
请问透明劫持具体怎么实现呢?在不给安卓设备装证书的前提下
|
能力值:
( LV1,RANK:0 )
|
-
-
11 楼
1
最后于 2023-4-26 09:19
被虚心学习w编辑
,原因:
|
能力值:
( LV3,RANK:20 )
|
-
-
12 楼
我也想知道如何不给目标安装证书可以成功劫持https,我可以出5W,人民币。
|
能力值:
( LV1,RANK:0 )
|
-
-
13 楼
bestbird
我也想知道如何不给目标安装证书可以成功劫持https,我可以出5W,人民币。
请问,如果不走HTTPS劫持,有其他方案可以把一个软件安进目标安卓设备吗
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
bestbird
我也想知道如何不给目标安装证书可以成功劫持https,我可以出5W,人民币。
是网站劫持吗啊?
|
能力值:
( LV3,RANK:20 )
|
-
-
15 楼
醉後的温柔
是网站劫持吗啊?
不是。我只是想知道5W能不能瓦解全球https安全体系而已(量子计算机直接爆破私钥的那种不算)。 网站劫持方法很多吧,DNS啥的。如果是个人电脑就更加容易,因为国内的路由器基本上都有万能密码进去的。然后,你懂的。
|
能力值:
( LV3,RANK:20 )
|
-
-
16 楼
虚心学习w
请问,如果不走HTTPS劫持,有其他方案可以把一个软件安进目标安卓设备吗
有。方法很多,因为0day很多。所谓的学校创新课题的话,建议换一个吧,学生玩不起的。
|
能力值:
( LV1,RANK:0 )
|
-
-
17 楼
bestbird
有。方法很多,因为0day很多。所谓的学校创新课题的话,建议换一个吧,学生玩不起的。
题已经定了,改不了 。学校环境可行的方案,师傅能指点下吗?主要是想控制内网安卓设备显示我预设的图片/视频,HTTPS劫持的目的是这个。DNS劫持我试过,局域网可以,但是公网DNS服务器不知道怎么上线。
|
|
|