跳转至

通信加密

0x01 漏洞描述

在开发应用程序时,最好将网络请求限制为必要的网络请求。对于必要的,请确保它们是通过HTTPS而不是HTTP制作的。HTTPS是一种加密流量的协议,因此窃听者无法轻易拦截它。

多年来,HTTPS协议已被多次利用。虽然可以使用HTTPS的方式保证与服务端加密传输,但是我们仍然可以通过网卡、wifi代理、Hook等方式劫持未加密的流量数据包。

0x02 漏洞危害

攻击者通过嗅探、中间人劫持等手段可获取到客户端与服务端的交互数据包,从而能够进行数据流量分析与篡改,进行进一步的攻击。

0x03 修复意见

通信加密需采用两种手段同时加固:

3.1 使用HTTPS加密传输

3.2 对数据包进行加密,比如使用AES等