接口测试之深入理解HTTPS

前言

随着网络安全问题越来越被重视,HTTPS协议的使用已经逐渐主流化。目前的主流站点均已使用了HTTPS协议;比如:百度、淘宝、京东等一二线主站都已经迁移到HTTPS服务之上。而作为测试人员来讲,也要需时俱进对HTTPS协议要有一定的了解,这样就可以更好的帮助我们在工作完成任务和排查问题。

HTTP与TCP

首先,在理解HTTPS之前需要了解HTTP。HTTP(Hyper Text Transfer Protocol)是超文本传输协议,是在互联网上广泛使用的一种信息传输方式,通常浏览器与服务器进行通信使用的都是HTTP协议。该协议因为其使用简单、方便,随着互联网的发展也同时在壮大。而HTTP协议本身只是定义了一份规范,具体的传输能力则是由TCP协议来完成。所以HTTP是基于TCP之上,广泛应用与浏览器中的一种传输协议。

HTTP与HTTPS

因为有了HTTP协议,所以互联网的发展如虎添翼,在短短几十年时间内,改变了人类很多的生活方式甚至生存方式。至今HTTP本身仍然是可以支持互联网的通信,只是其在安全上不能提供很好的保障。尤其是互联网与人们的生活越来越密切的时候,互联网的安全问题也越来越重要。而HTTPS则是解决这个问题的方法。本质上HTTPS=HTTP+SSL/TLS。其中SSL和TLS是一种加密协议,即HTTPS是一种带加密功能的HTTP协议。

HTTPS、HTTP、TCP之间的关系

即HTTPS并不是一个新的协议,而是多个协议组装后的产物。而其安全性则主要由SSL/TLS层来保障。(当然SSL/TLS也可以可以保障其它的应用层协议,比如:SSL+FTP=SFTP)

SSL/TLS的安全机制原理

既然SSL可以保障安全,那么它到底是如何保障的呢?其实SSL安全机制是通过对HTTP协议内容进行加密来实现的。而加密方式一般有2种类型:对称加密和非对称加密。

对称加密:加密和解密时使用的密匙(key)是一样的。密匙安全性不高,加密速度快

非对称加密:加密时使用公匙加密,解密时使用私匙解密。密匙安全性高,加密速度相对慢

而SSL中两者都有使用,且分别结合了它们的优缺点。在每次通信前先使用非对称加密来确定本次通信后续使用的对称加密的密匙,之后所有的通信都是使用临时生成的密匙来进行对称加密后传输。

但是从安全角度考虑这还不够,因为密匙还是有可能被人窃取了,然后篡改内容。所以就引入了证书机制,相当于给加密内容在加一个盖章。接着问题就变成了有人伪造证书怎么办?再然后就有了第三方认证机构,专门来发证书的,只有这些机构发的证书才可以信任。

于是现在访问HTTPS网站的时候就可能有两种情况,一种是使用认证的证书、一种是使用未认证的证书。当我们访问的网站使用未认证的证书时,浏览器往往就会有提醒--该网站不可信任。如果要一意孤行,就需要自己手动点继续。(当然你还可以给浏览器设置忽略安全认证)

证书发放与安装

全世界范围内可以发放安全证书的第三方机构就2-3个,而全世界有那么多的公司或网站需要申请证书。如何知道某个证书是否可信任呢?

其实安全证书有分根证书、子证书、子子证书,不同等级的信任范围。通常根证书是由最上面的第三方机构颁发给自己的,根证书下面的一级子证书通常是颁发给其下的代理公司的,而如果你的网站是从代理公司申请的,那么你证书将会是一个二级子证书。

而在认证证书的时候, 操作系统或者程序会去检查该证书此前是否已经被信任过,或者该证书的上级证书(父级、父父级等等)是否被信任过。只要有一个等级的证书被信任过,则认为该证书是可信任的。

具体证书是否可信任是根据系统或者程序是否已安装并信任了该证书。通常操作系统都会预装顶级证书机构的根证书,所以只要你访问的网站证书是从这几个顶级第三方机构或其代理申请的,那么就会被直接信任无需你去手动下载和安装。

HTTPS代理

了解了HTTPS和证书的基本知识之后,再来看看HTTPS的代理是如何实现的。与HTTP代理相比,HTTPS代理会多一个证书管理的功能,因为它要给浏览器端下发证书,才能模拟正常的HTTPS连接。所以HTTPS代理在进行内容转发之前,还需要对内容进行解码和加密的转换。具体图解如下:

这就是为什么使用Charles、Fiddler之类的软件代理HTTPS的时候,需要先安装一个它们的证书(尤其是移动端)。因为它们的证书是没有认证过的,需要手动安装并信任,之后才可以正常的代理。

行动吧,在路上总比一直观望的要好,未来的你肯定会感 谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入扣群: 320231853,里面有各种软件测试+开发资料和技术可以一起交流学习哦。

最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/288517.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WPF 命名空间解释

在C#中有命名空间的概念,我们可以使用using引入,就可以使用其中的类,在xaml中,也同样有命名空间,在window标签中用xmlns声明的这几行,这就是本页面引入的命名空间。 一般的情况下,我们引入命名空…

【C++入门】 初见,单推,与C++的第一次约会

关注小庄 顿顿解馋(ᕑᗢᓫ∗)˒ 引言:本篇博客我们开始与C的第一次约会,C是兼容c的,本篇博客我们将了解到C关键字有哪些,C命名空间,C输入与输出和缺省参数的内容,请放心食用 ~ 文章目录 一 🏠 C…

跨站脚本攻击

跨站脚本攻击又称XSS攻击,是代码注入攻击的一种。利用XSS漏洞,攻击者可以窃取Cookies或劫持会话,或注入恶意 HTML 或 JavaScript 代码到页面中,又或者将当前页面重定向至一个攻击者搭建的恶意网站。XSS漏洞的产生多是因为网站开发…

南网科研院携手百度智能云,入选信通院AI原生应用优秀案例

为呈现AI原生研发和应用成效,提供AI原生相关技术、服务、部署、运营、基础设施等选型参考,近期,中国信息通信研究院发布了AI原生技术及应用优秀案例,由南方电网公司输配电部牵头、南方电网科学研究院有限责任公司(以下…

校园app开发流程-uniapp开发-支持APP小程序H5-源码交付-跑腿-二手市场-交友论坛等功能,学校自由选择!

随着科技的不断发展,智慧校园系统和跑腿外卖小程序已经成为当今社会的热门话题。作为未来的重要趋势之一,科技在教育领域中的应用越来越广泛。本文将探讨智慧校园系统和跑腿外卖小程序的开发过程,并阐述如何利用科技“育”见未来 一、智慧校…

hadoop 查询hdfs资源信息的方式

hdfs dfsadmin -report [-live][-dead][-decommissioning]

Linux(CentOS)/Windows-C++ 云备份项目(服务器网络通信模块,业务处理模块设计,断点续传设计)

此模块将网络通信模块和业务处理模块进行了合并 网络通信通过httplib库搭建完成业务处理: 文件上传请求:备份客户端上传的文件,响应上传成功客户端列表请求:客户端请求备份文件的请求页面,服务器响应文件下载请求&…

os.walk()寻找指定文件

#T2 dcm文件从原位置批量复制到新文件夹F:/467289/ import os import numpy as np path /Users/yxk/Desktop/Debug_test/file# for root, dirs, files in os.walk(path): # for file in files: # if file.endswith(.dcm): # print(file)# def findPa…

android 消息提醒

1.创建 MyBackgroundService.java 继承 Service public class MyBackgroundService extends Service {Overridepublic void onCreate() {super.onCreate();Log.i("业务服务", "开起业务服务");//调用服务后在页面手机上创建一个通知消息。if (android.os…

SQLite数据库浏览器sqlite-web

什么是 sqlite-web ? sqlite-web是一个用 Python 编写的基于 Web 的 SQLite 数据库浏览器。 软件特点: 可与您现有的 SQLite 数据库配合使用,也可用于创建新数据库。添加或删除: 表格列(支持旧版本的 SQLite&#xff…

VTK 示例 基本的流程-事件交互、球体、

流程可以总结如下: 导入所需的头文件: 首先,导入了一系列 VTK 头文件,这些文件包含了所需的类和函数声明。 创建对象: 创建了两个球体(一个较大,一个较小),一个平面&…

未来制造:机器人行业新质生产力提升策略

机器人行业新质生产力提升咨询方案 一、机器人行业目前发展现状及特点: 创新活跃、应用广泛、成长性强。 二、机器人企业发展新质生产力面临的痛点: 1、高端人才匮乏 2、核心技术受限 3、竞争日益国际化 4、成本控制挑战 5、用户体验提升需求 三…

软件杯 深度学习+opencv+python实现车道线检测 - 自动驾驶

文章目录 0 前言1 课题背景2 实现效果3 卷积神经网络3.1卷积层3.2 池化层3.3 激活函数:3.4 全连接层3.5 使用tensorflow中keras模块实现卷积神经网络 4 YOLOV56 数据集处理7 模型训练8 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 &am…

pyecharts操作一

pyecharts 是一个用于生成Echarts图表的Python库。Echarts是百度开源的一个数据可视化JS库,可以生成一些非常酷炫的图表。 环境安装 pip install pyecharts 检查版本 import pyecharts print(pyecharts.version) 2.0.3 柱状图绘制 from pyecharts.charts impor…

【论文速读】| 对大语言模型解决攻击性安全挑战的实证评估

本次分享论文为:An Empirical Evaluation of LLMs for Solving Offensive Security Challenges 基本信息 原文作者:Minghao Shao, Boyuan Chen, Sofija Jancheska, Brendan Dolan-Gavitt, Siddharth Garg, Ramesh Karri, Muhammad Shafique 作者单位&a…

设计模式之建造者模式精讲

也叫生成器模式。将一个复杂的构建与它的表示分离,使得同样的构建过程可以创建不同的表示。 在建造者模式中,有如下4个角色: 抽象建造者(Builder):用于规范产品的各个组成部分,并进行抽象&…

GEE:将分类特征和标签提取到样本点,并以(csv/shp格式)下载到本地

作者:CSDN @ _养乐多_ 本文将介绍在Google Earth Engine(GEE)平台上,下载用于机器学习分类或者回归的样本点数据,样本点数据携带了分类特征和标签信息,可以以csv格式或者SHP格式。 结果如下图所示, 文章目录 一、核心函数1.1 采样1.2 下载函数二、代码链接三、完整代码…

开源博客项目Blog .NET Core源码学习(12:App.Application项目结构分析)

开源博客项目Blog的App.Application项目主要定义网站页面使用的数据类,同时定义各类数据的增删改查操作接口和实现类。App.Application项目未安装Nuget包,主要引用App.Core项目的类型。   App.Application项目的顶层文件夹如下图所示,下面逐…

Digital Image processing (DIP)

Camera FOV: Filed of view DOV: deep of view 景深 被F f/D 衡量,f 是焦距,D 是光圈大小。 当确定好了景深后,如何光线较暗,则需要补光,或者适当延长曝光时间(快门) 分辨率、像素尺寸&…

【Linux】详解进程终止进程等待

一、页表&&写时拷贝的进一步理解 页表中不仅仅只有虚拟地址到物理地址的映射,还包括了很多选项,其中就包括了映射条目的权限。当我们进程的代码和数据加载到内存并和进程地址空间建立映射关系时,如果数据的内容不允许被修改&#xff…