不做SSL证书校验等于裸奔!

发表于 2020-11-07  580 次阅读


以为自己用了https就安全了?不做证书校验等于裸奔。

最近去搞了把逆向,原本以为是https是没法劫持的(中间人除外),抓包时候猛然发现自己已经把hosts指向1.1.1.1了,程序仍然收到了返回的403数据,浏览器访问该域名会显示启用HSTS暂停访问,因为浏览器有证书校验,试着把hosts指向本地服务器(需要配置https),程序接收到本地服务器的数据并解析了。

条件可以的话也可以校验一下服务器IP做到双重安全。

本站文章基于国际协议BY-NA-SA 4.0协议共享;
如未特殊说明,本站文章皆为原创文章,请规范转载。

0

心虽在此,逐梦繁星