charles刷分微信跳一跳小程序对https的理解
2018-01-04 00:44
239 查看
以前以为只要安装了https 客户端与服务端的数据会被加密就安全了
事实上 只要任意一款抓包工具 并伪造证书 就可以解密这个被所谓https加密的数据
如 可以下载charles的根证书 作为伪造服务端的证书
https原理无非就是客户端的SSL/TLS根据服务端传回客户端证书中的公钥对随机值进行加密 服务端用私钥对公钥加密后的随机值 进行解密 得到解密之后的随机值
就是最终客户端和服务端 进行交互时候对称加密的的密钥
但是利用中间人攻击 伪造服务端的证书 建立双向通信 可以打破https加密的这套机制
https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417 https://github.com/chucklqsun/WxJumpHelper/blob/master/wx_t1t_hack.js https://juejin.im/entry/5904345ab123db3ee4755ebb
当然需要刷分 要运行node js的代码 需要安装node的环境 和npm
https://nodejs.org/en/download/ http://drubear.github.io/2015/12/22/Mac-OS-X%E5%AE%89%E8%A3%85Node-js%E3%80%81npm/
实践办法:
下载最新 charlesproxy
启动 charlesproxy
配置代理: 设置 > 无线局域网 > 配置代理 > 手动 > IP:电脑 ip,端口: 8888
导入 https 证书: 浏览器访问 http://chls.pro/ssl 下载安装证书
启动跳一跳小程序
去 charlesproxy 里查看抓到的请求, https://mp.weixin.qq.com/wxagame/wxagame_init 路径的请求,请求体里就包含 session_id
事实上 只要任意一款抓包工具 并伪造证书 就可以解密这个被所谓https加密的数据
如 可以下载charles的根证书 作为伪造服务端的证书
https原理无非就是客户端的SSL/TLS根据服务端传回客户端证书中的公钥对随机值进行加密 服务端用私钥对公钥加密后的随机值 进行解密 得到解密之后的随机值
就是最终客户端和服务端 进行交互时候对称加密的的密钥
但是利用中间人攻击 伪造服务端的证书 建立双向通信 可以打破https加密的这套机制
https://gist.github.com/feix/6dd1f62a54c5efa10f1e1c24f8efc417 https://github.com/chucklqsun/WxJumpHelper/blob/master/wx_t1t_hack.js https://juejin.im/entry/5904345ab123db3ee4755ebb
当然需要刷分 要运行node js的代码 需要安装node的环境 和npm
https://nodejs.org/en/download/ http://drubear.github.io/2015/12/22/Mac-OS-X%E5%AE%89%E8%A3%85Node-js%E3%80%81npm/
实践办法:
下载最新 charlesproxy
启动 charlesproxy
配置代理: 设置 > 无线局域网 > 配置代理 > 手动 > IP:电脑 ip,端口: 8888
导入 https 证书: 浏览器访问 http://chls.pro/ssl 下载安装证书
启动跳一跳小程序
去 charlesproxy 里查看抓到的请求, https://mp.weixin.qq.com/wxagame/wxagame_init 路径的请求,请求体里就包含 session_id
相关文章推荐
- 微信小程序https配置
- 新域名访问方式从http改为https(为了支持微信小程序https用)
- 微信小程序——智能小秘“遥知之”(语义理解基于olami,源码见原文链接,PC端打开)
- 微信小程序入门(1)-搭建Nginx支持Https
- 微信小程序---开通开发环境的理解
- [微信小程序] javascript的代码理解
- 使用linux自建证书(ios强制https 微信小程序强制https 本地开发环境)
- 微信小程序之https步骤二
- 微信小程序web-view里的https被识别为http
- 微信小程序demo理解
- 微信小程序 HTTPS 请求,如何获取免费证书配置服务器
- 配置微信小程序后台(https与ssl配置)
- 微信跳一跳高分系列三:用 adb 破解微信跳一跳小程序
- 拿到微信小程序APPID了如何使用https版API中心来开发
- 天河微信小程序入门《二》:阿里云tomcat免费配置https
- 天河微信小程序入门《二》:阿里云tomcat免费配置https
- 关于微信及微信小程序的理解
- 通过新浪云部署Node.js微信小程序商城(不用买域名、不用备案、不用配置https)
- 基于OLAMI平台的语义理解微信小程序开发
- 微信小程序跳一跳小结