以为自己用了https就安全了?不做证书校验等于裸奔。
最近去搞了把逆向,原本以为是https是没法劫持的(中间人除外),抓包时候猛然发现自己已经把hosts指向1.1.1.1了,程序仍然收到了返回的403数据,浏览器访问该域名会显示启用HSTS暂停访问,因为浏览器有证书校验,试着把hosts指向本地服务器(需要配置https),程序接收到本地服务器的数据并解析了。
条件可以的话也可以校验一下服务器IP做到双重安全。
发表于 2020-11-07 580 次阅读
以为自己用了https就安全了?不做证书校验等于裸奔。
最近去搞了把逆向,原本以为是https是没法劫持的(中间人除外),抓包时候猛然发现自己已经把hosts指向1.1.1.1了,程序仍然收到了返回的403数据,浏览器访问该域名会显示启用HSTS暂停访问,因为浏览器有证书校验,试着把hosts指向本地服务器(需要配置https),程序接收到本地服务器的数据并解析了。
条件可以的话也可以校验一下服务器IP做到双重安全。
COMMENTS | NOTHING