网安引领时代,弥天点亮未来
本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
随着数据安全发展的必然需要,基于http方式的明文数据传输已经不再符合数据的安全建设,在安全测试中,明文传输也作为安全问题逐渐受到关注,通常使用改包抓包工具如yakit、burp suite、Wireshark、Sniffer等进行分析查看,有时分析时发现用户名和密码会使用base64、md5等方式进行编码或者加密,这里值得注意是这个加密与https无关。在这样的背景下,很多网站采用https方式进行数据传输。
HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
下面将介绍MAC和window操作系统下通过导出sslkey文件的方式使用Wireshark分析查看https流量的方操作。
1.创建证书写入日志文件,并赋权限
touch sslkey.log
2.设置系统环境变量(以谷歌浏览器为例)
sudo /Applications/Google Chrome.app/Contents/MacOS/Google Chrome --ssl-key-log-file=/Users/yunzui/Documents/tools/https/sslkey.log
3.启动Wireshark导入sslkey.log文件
打开 perferences->Protocols-> SSL
4.打开https网站进行抓包,发现可以看到解密后的信息。
墨者学院为例
发现已经识别为http2版本
1.新建系统环境变量
2.打开http网站,发现会有日志写乳到sslkey.log中。
3.启动Wireshark导入sslkey.log文件
编辑 --> 首选项 --> Protocols --> TLS
4.打开https网站进行抓包,发现可以看到解密后的信息。
墨者学院为例
分析数据包发现数据已解密
追踪TLS数据流发现为http2
一般情况下,加密流量的分析前提条件是需要证书的导入,在工作中经常会遇到这种需求。而加密流量的安全检测过程中也运用了同样的方式,使用导入的证书将加密流量进行解密然后在进行特征匹配产生对应的告警,但是种方式对检测产品性能又提出了新的挑战尤其是大流量环境。
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
收录于合集 #加密
2
上一篇
原文始发于微信公众号(弥天安全实验室):Wireshark下的加密流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论