通信加密¶
0x01 漏洞描述¶
在开发应用程序时,最好将网络请求限制为必要的网络请求。对于必要的,请确保它们是通过HTTPS而不是HTTP制作的。HTTPS是一种加密流量的协议,因此窃听者无法轻易拦截它。
多年来,HTTPS协议已被多次利用。虽然可以使用HTTPS的方式保证与服务端加密传输,但是我们仍然可以通过网卡、wifi代理、Hook等方式劫持未加密的流量数据包。
0x02 漏洞危害¶
攻击者通过嗅探、中间人劫持等手段可获取到客户端与服务端的交互数据包,从而能够进行数据流量分析与篡改,进行进一步的攻击。
0x03 修复意见¶
通信加密需采用两种手段同时加固: