搜索
网站建设,网站优化,网络营销,app开发,小程序开发,全网营销

400-825-2717互联网开发&推广服务提供商

与我们合作

我们专注:网站策划设计、网络舆论监控、网站优化及网站营销、品牌策略与设计
主营业务:网站建设、移动端微信小程序开发、APP开发、网络运营、云产品·运维解决方案

有一个品牌项目想和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,这是一个良好的开始,我们将会尽快与您取得联系。当然也欢迎您给我们写信或是打电话,让我们听到您的声音

您也可通过下列途径与我们取得联系:

地 址: 上海市长宁区华宁国际7L

电 话: 400-825-2717(咨询专线)

电 话: 13054973230(售后客户服务)

网 址: http://www.56gw.net

传 真: 021-61488448

邮 箱: admin@wumujituan.com

快速提交您的需求 ↓

HTTPS真的安全吗?

发布日期:2023-12-28 浏览次数:26518

今天看到了一个大佬,使用抓包软件对某些看广告给金币的软件进行修改,我大概看了一下教程,使用抓包软件抓取看完视频后对服务器端发送的POST请求来达到刷金币的目的,过程中使用的安卓虚拟机 ROOT权限 MT管理器 HTTPcanary(抓包软件)
启动虚拟机后安装MT管理器,然后在真机中安装HTTPcanary,安装证书(用于解密HTTPS协议),然后导出证书,在虚拟机中导入,给MT管理器授权ROOT后,把导出的证书放进系统的system文件夹下存储证书的文件夹内,这样就可以解密HTTPS了
打开“赚钱软件”,启用抓包,观看广告视频后,会向服务器发送一个POST请求,来表示用户已经观看完广告,可以给用户金币。服务端呢会返回一个json,json中包含了用户获得的金币数量。

可以看到获得的金币为15827,这个数字是由服务器返回的json得到,展示给用户的
就是这个金币数量,导致那些人找到了洞,因为这个数量可以在后面看到,通过抓包软件查找获得的金币,即可轻松找到发送到POST请求

这里由于出教程的人已经知道金币数量对应的键名,所以他直接搜索的键名redbag,不用记数字了
找到发送到POST请求之后,只需要进行重发,也就是我们手动发送一个POST给到服务器,这时即使我们没看视频,但是我们发送了POST给服务器,服务器就认为我们已经看了这次视频,就会给用户增加金币,从而达到刷金币的目的
我们接着往下看,可以看到服务器返回的json内容

这时我们已经抓取到需要向服务端发送POST请求的那一条链接了

接下来就是进行重发即可到达刷金币的目的了,当然如果太频繁的话,赚钱软件的后台也可以看到,就把你账号封了

其实这个漏洞本来可以避免的,加上token,加上请求限制,为什么没加,估计开发者可能没想到会有人这样干,那么既然我加了HTTPS,为什么还是能被解密呢,HTTPS还有用吗?
其实HTTPS可以防止用户在不知情的情况下通信链路被监听,对于主动授信的抓包操作是不提供防护的,因为这个场景用户是已经对风险知情。要防止被抓包,需要采用应用级的安全防护,例如采用私有的对称加密,同时做好移动端的防反编译加固,防止本地算法被破解
要想不被不发分子破解,只能是在本地加上验证,比如检测用户设备有没有使用代理软件,有没有开启加-速-器,有没有启动抓包软件,这个很显然就是开发者没有想到这一情况
可能有人会问,我的证书牛逼,银行级别的证书,其实这个我认为和证书没关系,腾讯的证书够牛逼吧,也同样被人使用抓包软件钻过漏洞(腾讯在一个晚上发现了这一漏洞,并修复)
所以我认为,如果不是大公司,用免费的证书就可以了,足以抵御用户在不知情的情况下通信链路被监听
上面说的这个软件的漏洞和腾讯的那个漏洞,这个漏洞已经能传到我这里,并且我测试并没有修复的时候,说明这个漏洞已经被别人赚够了钱,怕被抓,故意放出来的,谁会把赚钱的方法免费告诉你呢?那就肯定是他已经赚够了,所以抓包需谨慎,不然就和吴签一起吃饭了
(原创内容,不是专业人员,仅代表个人想法,欢迎大佬反驳~我是个小白)

GO 知识
查看经典案例

TOP

QQ客服

免费电话

微信咨询 在线咨询 免费电话
获取报价
您的称呼:

*

您的电话:

*

您的邮箱:

*

提交 重置
重要的事情,电话里聊

接通客服

不方便的时候线上咨询,在线等哦