HTTPS的3种实现方法 .
分类:java 2010-04-30 10:17 164人阅读评论(0) 收藏举报
引用自:https://www.doczj.com/doc/5c11887532.html,/blog/289650
文章如下:HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解密,因此,所传送的数据不容易被网络黑客截获和破解。本文介绍HTTPS的三种实现方法。
方法一静态超链接这是目前网站中使用得较多的方法,也最简单。
在要求使用SSL进行传输的Web网页链接中直接标明使用HTTPS协议,以下是指向需要使用SSL的网页的超链接:SSL例子需要说明的是,在网页里的超链接如果使用相对路径的话,其默认启用协议与引用该超链接的网页或资源的传输协议相同,例如在某超链接“HTTPS://192.168.100.100/ok/l ogin.jps”的网页中包含如下两个超链接:SSL链接非SSL链接那么,第一个链接使用与“HTTPS://192.168.100.100/ok/login.jsp”相同的传输协议HTTPS,第二个链接使用本身所标识的协议HTTP。
使用静态超链接的好处是容易实现,不需要额外开发。然而,它却不容易维护管理; 因为在一个完全使用HTTP协议访问的Web应用里,每个资源都存放在该应用特定根目录下的各个子目录里,资源的链接路径都使用相对路径,这样做是为了方便应用的迁移并且易于管理。但假如该应用的某些资源要用到HTTPS协议,引用的链接就必须使用完整的路径,所以当应用迁移或需要更改URL中所涉及的任何部分如:域名、目录、文件名等,维护者都需要对每个超链接修改,工作量之大可想而知。再者,如果客户在浏览器地址栏里手工输入HTTPS 协议的资源,那么所有敏感机密数据在传输中就得不到保护,很容易被黑客截获和篡改!
方法二资源访问限制为了保护Web应用中的敏感数据,防止资源的非法访问和保证传输的安全性,Java Serv let 2.2规范定义了安全约束(Security-Constraint)元件,它用于指定一个或多个We b资源集的安全约束条件;用户数据约束(User-Data-Constraint)元件是安全约束元件的子类,它用于指定在客户端和容器之间传输的数据是如何被保护的。
用户数据约束元件还包括了传输保证(Transport-Guarantee)元件,它规定了客户机和服务器之间的通信必须是以下三种模式之一:None、Integral、Confidential。None表示被指定的Web资源不需要任何传输保证;Integral表示客户机与服务器之间传送的数据在传送过程中不会被篡改; Confidential表示数据在传送过程中被加密。大多数情况下,Integral或Co nfidential是使用SSL实现。
这里以BEA的WebLogic Server 6.1为例介绍其实现方法,WebLogic是一个性能卓越的J2 EE 服务器,它可以对所管理的Web资源,包括EJB、JSP、Servlet应用程序设置访问控制条款。
假设某个应用建立在Weblogic Server里的/mywebAPP目录下,其中一部分Servlets、JSPs要
求使用SSL传输,那么可将它们都放在/mywebAPP/sslsource/目录里,然后编辑/secureAPP/Web-INF/web.xml文件,通过对web.xml的设置可达到对Web用户实现访问控制。当Web用户试图通过HTTP访问/sslsource目录下的资源时,Weblogic Server就会查找we b.xml里的访问约束定义,返回提示信息:Need SSL connection to access this resource。
资源访问限制与静态超链接结合使用,不仅继承了静态超链接方法的简单易用性,而且有效保护了敏感资源数据。然而,这样就会存在一个问题:假如Web客户使用HT TP协议访问需要使用SSL的网络资源时看到弹出的提示信息: Need SSL connection to access this resource,大部分人可能都不知道应该用HTTPS去访问该网页,造成的后果是用户会放弃访问该网页,这是Web应用服务提供商不愿意看到的事情。
方法三链接重定向综观目前商业网站资源数据的交互访问,要求严格加密传输的数据只占其中一小部分,也就是说在一个具体Web应用中需要使用SSL的服务程序只占整体的一小部分。那么,我们可以从应用开发方面考虑解决方法,对需要使用HTTPS协议的那部分JSPs、Servlets或EJBs进行处理,使程序本身在接收到访问请求时首先判断该请求使用的协议是否符合本程序的要求,即来访请求是否使用HTTPS协议,如果不是就将其访问协议重定向为HTTPS ,这样就避免了客户使用HTTP协议访问要求使用HTTPS协议的Web资源时,看到错误提示信息无所适从的情况,这些处理对Web客户来说是透明的。
实现思想是:
首先创建一个类,该类方法可以实现自动引导Web客户的访问请求使用HTT PS协议,每个要求使用SSL进行传输的Servlets或JSPs在程序开始时调用它进行协议重定向,最后才进行数据应用处理。J2EE提供了两种链接重定向机制。第一种机制是RequestDispatcher接口里的forward() 方法。使用MVC(Model-View-Controller)机制的Web应用通常都使用这个方法从Servlet 转移请求到JSP。但这种转向只能是同种协议间的转向,并不能重定向到不同的协议。
第二种机制是使用HTTPServletReponse接口里的sendRedirect()方法,它能使用任何协议重定向到任何URL,例如:BeSslResponse.sendRedirect(“HTTPS://192.168.100.100/order”); 此外,我们还需使用到Java Servlet API中的两个方法:ServletRequest接口中的getScheme(),它用于获取访问请求使用的传输协议;HTTPUtils类中的getRequestUrl(),它用于获取访问请求的URL,要注意的是该方法在Servlet 2.3中已被移到HTTPServletRequest接口。
以下是实现协议重定向的基本步骤:
1. 获取访问的请求所使用的协议;
2. 如果请求协议符合被访问的Servlet所要求的协议,就说明已经使用HTTPS协议了,不需做任何处理;
3. 如果不符合,使用Servlet所要求的协议(HTTPS)重定向到相同的URL。例如,某Web 用户使用HTTP协议访问要求使用HTTPS协议的资源BeSslServlet,敲入“UR L:HTTP://192.168.100.100/BeSslServlet”,在执行BeSslServlet时首先使用ProcessSslServlet.processSsl()重定向到HTTPS://192.168.100.100/BeSslServlet,然后BeSslServlet与客户浏览器之间就通过HTTPS协议进行数据传输。
以上介绍的仅是最简单的例子,是为了对这种重定向的方法有个初步的认识。假如想真正在Web应用中实现,还必须考虑如下几个问题:
●在Web应用中常常会用到GET或Post方法,访问请求的URL中就会带上一些查询字串,这些字串是使用getRequesUrl()时获取不到的,而且在重定向之后会丢失,所以必须在重定向之前将它们加入到新的URL里。我们可以使用request.getQueryString()来获取G ET的查询字串,对于Post的Request参数,可以把它们转换成查询串再进行处理。
●某些Web应用请求中会使用对象作为其属性,必须在重定向之前将这些属性保存在该Session中,以便重定向后使用。
●大多数浏览器会把对同一个主机的不同端口的访问当作对不同的主机进行访问,分用不同的Session,为了使重定向后保留使用原来的Session,必须对应用服务器的Cookie 域名进行相应的设置。以上问题均可在程序设计中解决。通过程序自身实现协议重定向,就可以把要求严格保护的那部分资源与其他普通数据从逻辑上分开处理,使得要求使用SSL的资源和不需要使用SSL的资源各取所需,避免浪费网站的系统资源。
一文读懂对话式交互技术原理及流程设计 一、对话式交互技术 以智能音箱、智能电视为代表的对话式交互,是时下非常火热的、且能够走近我们生活的人工智能子领域。 什么是对话式交互呢?我们首先从一个例子开始。贾维斯,电影《钢铁侠》中那位钢铁侠的AI 管家,他能独立思考、可以实时帮钢铁侠处理各种事情,包括计算海量数据。其中最让观众印象深刻的就是,贾维斯可以随时随地像人一样进行口语交流,来解决钢铁侠的问题。 贾维斯能听、会说,能实时理解主人的对话意图并根据实际场景进行下一步的对话,如果在对话过程中碰到有歧义的情况,他还会追问钢铁侠,让他提供更多的信息来消除歧义。贾维斯的这些能力就是对话式交互要提供的,其中的核心是VUI (V oice User Interface,语音用户界面)的设计。相对于GUI(Graphical User Interface,图形用户界面),VUI 解放了人的双手,某些场景下,简单的一句语音命令就能代替GUI 下鼠标/ 遥控器的多次点击,这带来的不只是方便,还节省了时间。一个好的VUI 系统,能够让用户尽可能通过最少轮次的对话实现既定意图的执行。贾维斯总能在危机时刻帮到钢铁侠,他是一个具有完美VUI 的语音助手。 嗯,我们不要入戏过深,贾维斯是一部电影里的虚拟系统。那么,现实生活中,我们能创造出来一个接近贾维斯的对话式交互系统吗?我们该怎么做呢?呃,很遗憾,以当前的科技发展水平,我们还做不到电影里那么智能,更不用说让机器有意识。但人机交互并不是昨天才发明出来的,人类在这个领域已经探索了几十年,我们可以实现钢铁侠与贾维斯的交互方式,并用这种方式来帮我们处理一些数据或控制我们身边的一些硬件设备(比如让语音助手根据天气提供穿衣建议或者控制厨房和卧室的各个家电),这就是我们要聊的对话式交互技术。 对话式交互技术包括了语音识别/ 合成、语义理解和对话管理三个部分。当下的对话式交互产品主要分两类:以微软小冰为代表的开放域(Open Domain)对话系统和以亚马逊
交互设计概述 1. 探索思想 如果我们问,交互设计是什么??家从 IxDC 的定义中能很快知道答案。 交互设计,又称互动设计(Interaction Design, 缩写 IxD 或者 IaD),是定义、设计?造系统的?为的设计领域。在于定义?造物的?为?式(the “Interaction”,即??制品在特定场景下的反应?式)相关的界?。[]1 很显然,如果根据定义去看,我们应该是云?雾?,根本看不懂它的定义,也?法理解交互设计是什么,又为何如此去定义的。?然,这种?法就不可取。?当?法理解?个东西是什么的时候,不妨问问??,为什么这个东西不是其他什么。 所以与其从正?去理解交互设计是什么,不如进?对它进?质疑与攻讦。当然,我们进?质疑与攻讦的?的,不是为了搞个?新闻,去否定交互设计的价值,?是通过这种质疑,去理解交互设计的合理性,存在的意义,从?加深对于交互设计的理解,在宏观层?去触及交互设计为什么是这样的。毕竟,?个合理的东西,从任何?度进?攻击都不应该会有破绽。 所以,第?件事,我们应该问问,交互设计是不是应该必须存在在世界上的?它的存在是有什么必然性吗?世界上没有交互设计,还能不能正常运作? 交互设计是如何诞?的?交互设计有什么??我们为什么需要去研究交互设计? 只有我们肯定了交互设计存在的合理性,我们才能更好地去理解,什么是交互设计。 2.交互设计存在的合理理性 2.1.界定交互设计的标准是什什么? 既然我们质疑交互设计存在的合理性,我们?先要做的,应该是界定,什么能够称得上是交互设计?能被称为交互设计的界定标准是什么?因为如果没有这个标准,?切皆可以被称为「交互设计」,那么我们所有讨论的案例、理论、设计都将会是没有意义的。我们出?个问题?问?下: ??瓶?的包装设计能不能被称为交互设计? ??个栏杆的指?设计设计能不能被称为交互设计? ?飞机的控制系统仪表盘设计能不能被称为交互设计?
:利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一,实验目的: 通过本次实验,学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能,熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二,实验环境: 操作系统为Windows 7,抓包工具为Wireshark. 三,实验原理: ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 四,验步骤: 1.确定目标地址:选择https://www.doczj.com/doc/5c11887532.html,作为目标地址。 2.配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,如图 1- 1
图 1-1 3.启动抓包:点击【start】开始抓包,在命令提示符下键入ping https://www.doczj.com/doc/5c11887532.html,, 如图 1-2
图 1-2 停止抓包后,截取的数据如图 1-3 图 1-3 4,分析数据包:选取一个数据包进行分析,如图1- 4
图1-4 每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下: (1)诊断报文(类型:8,代码0;类型:0代码:0); (2)目的不可达报文(类型:3,代码0-15); (3)重定向报文(类型:5,代码:0--4); (4)超时报文(类型:11,代码:0--1); (5)信息报文(类型:12--18)。
HTTPS请求 package com.sunzk.dreamsunlight.weixin.util; import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStream; import https://www.doczj.com/doc/5c11887532.html,.ConnectException; import https://www.doczj.com/doc/5c11887532.html,.URL; import https://www.doczj.com/doc/5c11887532.html,.ssl.HttpsURLConnection; import https://www.doczj.com/doc/5c11887532.html,.ssl.SSLContext; import https://www.doczj.com/doc/5c11887532.html,.ssl.SSLSocketFactory; import https://www.doczj.com/doc/5c11887532.html,.ssl.TrustManager; import net.sf.json.JSONException; import net.sf.json.JSONObject; import org.apache.log4j.Logger;
import com.sunzk.dreamsunlight.weixin.certificate.MyX509 TrustManager; import com.sunzk.dreamsunlight.weixin.model.Menu; import com.sunzk.dreamsunlight.weixin.token.AccessToken; /** * * @ClassName: WeiXinHttpsUtil * * @Description: TODO(微信HTTPS请求工具类) * * @author sunzk-dreamsunlight-QQ(1131341075) * * @date 2016-11-14 上午10:05:56 * */ public class WeiXinHttpsUtil {
使用wireshark分析HTTPS流程的建立
使用wireshark分析HTTPS流程的建立 摘要: https流程 一、概要 为了网站以及用户的安全性,现在很多的网站都是https,大家都知道tcp通过三次握手建立连接,并且还有很多的同学对https连接建立的流程不太明白,包括我自己,通过借助于wireshark这种抓包工具,我们可以尝试着了解一下大概的流程。 (图1) 本图是客户端(10.0.45.103)访问服务端(114.215.88.85)通过wireshark 抓包显示出来的双方交互数据,访问是通过https访问服务器上的一台nginx 服务器服务。请关注第一列的No。下文中很多时候会用no表示一次交互。 图中可以很明显的看出tcp的三次握手以及之后的TLS加密流程的建立。二、tcp的三次握手 通过流程图可以看出(也可以看图1 的19368到19370这三个编号),首先客户端向服务端发起一个SYN的请求,序号(Seq)为0,确认号(ACK)也为0,这代表是本次是由客户端发起的首次请求。本次请求的数据长度为0 然后服务端给客户端响应,此时服务端的Seq也是0,值得是服务端的第一回应,并且给客户端说,你的请求我已经收到了(ACK=1),
最后返还给客户端以后,客户端的序号+1,并且对服务端的响应做出确认,最后回给服务端,此时ACK=1,Seq=1 tcp的握手过程建立成功。 三、ssl连接的建立 通过以上可以看出,SSL也是建立在TCP的基础上的,经过tcp的三次握手,接下来才是加密信道的建立。 客户端和服务端建立安全连接大致经过以下几个步骤 1.客户端:ClientHello 2.服务端:Server Hello,Server certificate,Server Exchange,Server Hello Done 3.客户端:client Exchange 4.客户端:Application Data 5.服务端:New Session 6.服务端:Application Data 接下来看这几个步骤中具体的每一个步骤传输的内容 ClientHello client首先给服务端打招呼,对服务端说hello 应用层没什么特别的
1.1跟我学人机交互界面理论与技术及应用——Web前端开发工程师 1、Web前端开发相关技术简介 (1)Web前端开发工程师是一个很新的职业 在国内乃至国际上真正开始受到重视的时间不超过5年,Web前端开发是从网页制作演变而来的,名称上有很明显的时代特征。 在互联网的演化进程中,网页制作是Web 1.0时代的产物,那时网站的主要内容都是静态的,用户使用网站的行为也以浏览为主。2005年以后,互联网进入Web 2.0时代,各种类似桌面软件的Web应用大量涌现,网站的前端由此发生了翻天覆地的变化。 网页不再只是承载单一的文字和图片,各种富媒体让网页的内容更加生动,网页上软件化的交互形式为用户提供了更好的使用体验,这些都是基于前端技术实现的。 (2)RIA技术不断地深入和普及 随着Web 2.0概念的普及和W3C组织的推广,网站重构的影响力正以惊人的速度增长。XHTML+CSS布局、DHTML和Ajax像一阵旋风,铺天盖地席卷而来,包括新浪、搜狐、网易、腾讯、淘宝网等在内的各种规模的IT企业都对自己的网站进行了重构。 为什么它们会对自己的网站进行重构呢?有两个方面的原因: 第一,根据W3C标准进行重构后,可以让前端的代码组织更有序,显著改善网站的性能,还能提高可维护性,对搜索引擎也更友好; 第二,重构后的网站能带来更好的用户体验,用XHTML+CSS重新布局后的页面,文件更小,下载速度更快。 2、了解网站重构的基本目的 网站重构的目的仅仅是为了让网页更符合Web标准吗?不是!重构的本质是构建一个前端灵活的MVC框架,即HTML作为信息模型(Model),CSS控制样式(View),JavaScript 负责调度数据和实现某种展现逻辑(Controller)。同时,代码需要具有很好的复用性和可维护性。这是高效率、高质量开发以及协作开发的基础。 3、Web前端开发工程师 DHTML可以让用户的操作更炫、更吸引眼球;Ajax可以实现无刷新的数据交换,让用户的操作更流畅。对于普通用户来说,一个网站是否专业、功能是否强大,服务器端是用J2EE+Oracle的强大组合,还是用ASP+Access的简单组合,并没有太明显的区别。 但是,前端的用户体验却给了用户直观的印象。随着人们对用户体验的要求越来越高,
对于https协议的接口的抓包方法 一、使用fiddler 1.使用fiddler对浏览器访问的https接口抓包 默认设置下的fiddler是不能解密https协议的请求的内容的,在fiddler上抓到的https 协议的请求都是如下图所示,但是看不到其中的传参以及返回结果的内容: 如果想要用fiddler抓到浏览器访问的https接口,需要在fiddler做如下设置: a)进入菜单栏,Tools->Fiddler Options: b)切换到https选项卡,勾选如下选项: c)按照上面步骤勾选后,会弹出如下提示框,提示意思大概就是fiddler会生成 一个唯一的根证书,我们要配置Windows,使Windows信任这个CA证书,
所以点击Yes即可: d)点击Yes之后,Windows会马上弹出下面的弹窗,我们点击“是”,就能将 DO_NOT_TRUST_FiddlerRoot这个由fiddler生成的CA证书导入到浏览器,也就 完成了上面C步骤所述的配置Windows,使Windows信任这个CA证书的步 骤: 完成了上面的配置后,即可以在浏览器发起一个https协议的请求: 此时可以在fiddler抓到这个请求,并能看到传参内容和返回的内容
返回的内容: 2.使用fiddler对app访问的https接口抓包 首先要先在fiddler进行设置,步骤与上面的一样,但是不用导入证书到浏览器,这里不再赘述。 Android: 要使用fiddler抓到app发出的https请求,需要在app端安装fiddler生成的CA证书,在Android的app端安装fiddler生成的CA证书步骤如下: a)设置手机代理服务器,代理到自己的电脑:
课堂教学设计表 学科机械类授课班级 17工业设计 第 1 页
教学媒体的选择 知识点 编号 学习 目标 媒体 类型 媒体内容要点 教学 作用 使用 方式 所得结论 占用 时间 媒体 来源15.1-1 知识 理解 模型 课件 理解交互设计 概念 C举例验 证,建立 概念 B设疑— 播放—讨 论 模型分析的预期结果是学 生认识到:交互设计是“人 类交流和交互空间的设 计”,交互设计成为信息化 社会重点研究方向。 3分钟自制15.1-2 技能 方法 照片 投影 课件 1.交互设计使用情 境 B创设情 境,引发 动机 F播放— 讨论—总 结 案例展示的预期结果是学 生归纳出:交互设计方法 1.目标分析 2.任务分析 3. 界面设计4.技术架构 6分钟 自制 网络 下载 2.交互设计方法实 际应用 G设难置 疑,引起 思辨 B设疑— 播放—讨 论 分组讨论的预期结果是学 生运用设计方法提出新设 计方案,提高学生思维能 力。 4分钟 网络 下载15.1-3 情感图片学科前景展望 J归纳总 结,复习 巩固 F播放— 讨论—总 结 图片分析的预期结果是学 生了解学科发展趋势,培 养学生学习兴趣,激发学 生学习动机。 2分钟自制 ①媒体在教学中的作用分为:A.提供事实,建立经验;B.创设情境,引发动机;C.举例验证,建立概念;D.提供示范,正确操作;E.呈现过程,形成表象;F.演绎原理,启发思维;G.设难置疑,引起思辨;H.展示事例,开阔视野;I.欣赏审美,陶冶情操;J.归纳总结,复习巩固;K.其它。 ②媒体的使用方式包括:A.设疑—播放—讲解;B.设疑—播放—讨论;C.讲解—播放—概括;D.讲解—播放—举例;E.播放—提问—讲解;F.播放—讨论—总结;G.边播放、边讲解;H.其它. 板 书 设 计 第 2 页
http 使用curl发起https请求 今天一个同事反映,使用curl发起https请求的时候报错:“SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed” 很明显,验证证书的时候出现了问题。 使用curl如果想发起的https请求正常的话有2种做法: 方法一、设定为不验证证书和host。 在执行curl_exec()之前。设置option $ch = curl_init(); ...... curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE); 方法二、设定一个正确的证书。 本地ssl判别证书太旧,导致链接报错ssl证书不正确。 我们需要下载新的ssl 本地判别文件 http://curl.haxx.se/ca/cacert.pem 放到程序文件目录 curl 增加下面的配置 curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,true); ; curl_setopt($ch,CURLOPT_CAINFO,dirname(__FILE__).'/cacert.pem'); 大功告成 (本人验证未通过。。。报错信息为:SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed) 如果对此感兴趣的话可以参看国外一大神文章。 https://www.doczj.com/doc/5c11887532.html,/blog/2009/05/05/using-curl-in-php-to-access-https-ssltls-protected -sites/ 为了防止某天该文章被Q今复制过来。内容如下: Using cURL in PHP to access HTTPS (SSL/TLS) protected sites From PHP, you can access the useful cURL Library (libcurl) to make requests to URLs using a variety of protocols such as HTTP, FTP, LDAP and even Gopher. (If you’ve spent time on the *nix command line, most environments also have the curl command available that uses the libcurl library) In practice, however, the most commonly-used protocol tends to be HTTP, especially when usingPHP for server-to-server communication. Typically this involves accessing another web server as part of a web service call, using some method such as XML-RPC or REST to query a resource. For example, Delicious offers a HTTP-based API to manipulate and read a user’s posts. However, when trying to access a HTTPS resource (such as the delicious API), there’s a little more configuration you have to do before you can get cURL working right in PHP. The problem If you simply try to access a HTTPS (SSL or TLS-protected resource) in PHP using cURL, you’re likely to run into some difficulty. Say you have the following code: (Error handling omitted for brevity) // Initialize session and set URL. $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); // Set so curl_exec returns the result instead of outputting it. curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); // Get the response and close the channel. $response = curl_exec($ch);
HTTP抓包分析 一:实验目的: 1、学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的 理解 二:实验内容: 1、分析http协议请求的响应过程。 2、分析TCP的处理过程,HTTP,TCp的报文格式。 三:实验环境及工具 1、虚拟主机XP,虚拟网卡NAT,TCP/IP参数自动获取 2、安装Wireshark抓包软件 四:实验步骤 1、安装Wireshark,简单描述安装步骤。 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option”选项。 3、设置完成后,点击“start”开始抓包,显示结果。 4、选择某一行抓包结果,双击查看此数据包具体结构 五:网络协议包数据分析 1:http请求报文分析(第8个包) 请求行:方法字段:GET,版本是http/1.1. 首部行:主机host:https://www.doczj.com/doc/5c11887532.html,;Connection:Keep-Alive,即保持持久连接;Accept-language:zh-cn,即接收语言是中文。 2.http响应报文(第55个包)
状态行:http/1.1 200 OK;请求成功。 首部行:响应Date:sat,21,Apr 2012 04:58:18 GMT ;Content-Type:text/html 指示实体主体中的对象是text/html文本;Content-Length:35593 表明了被发送对象的字节数是35593个字节。 :3:TCP报文格式分析: 报文格式:
如截图可知:源端口号:80,目的端口号3968,序号:1,确认号:424,首部长度:20 bytes,Flags=0X10(URG=0,ACK=1,PSH=0,RST=0,SYN=0,FIN=0)接收窗口大小:65112;检验和:0x8a44。 4:TCP响应(3次握手)分析: 1)服务器应用启动,进入LISTEN状态; 2)客户端向服务器端发送一个TCP报文段,该段设置SYN标识,请求跟服务器端应用同步,之后进入SYN-SENT状态,等待服务器端的响应;(第5个包) 3)服务器端应用收到客户端的SYN 段之后,发送一个TCP段响应客户端,该段设置SYN和ACK标识,告知客户端自己接受它的同步请求,同时请求跟客户端同步。之后进入 SYN-RECEIVED状态;(第6个包)
HTTPS的3种实现方法 . 分类:java 2010-04-30 10:17 164人阅读评论(0) 收藏举报 引用自:https://www.doczj.com/doc/5c11887532.html,/blog/289650 文章如下:HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解密,因此,所传送的数据不容易被网络黑客截获和破解。本文介绍HTTPS的三种实现方法。 方法一静态超链接这是目前网站中使用得较多的方法,也最简单。 在要求使用SSL进行传输的Web网页链接中直接标明使用HTTPS协议,以下是指向需要使用SSL的网页的超链接:SSL例子需要说明的是,在网页里的超链接如果使用相对路径的话,其默认启用协议与引用该超链接的网页或资源的传输协议相同,例如在某超链接“HTTPS://192.168.100.100/ok/l ogin.jps”的网页中包含如下两个超链接:SSL链接非SSL链接那么,第一个链接使用与“HTTPS://192.168.100.100/ok/login.jsp”相同的传输协议HTTPS,第二个链接使用本身所标识的协议HTTP。 使用静态超链接的好处是容易实现,不需要额外开发。然而,它却不容易维护管理; 因为在一个完全使用HTTP协议访问的Web应用里,每个资源都存放在该应用特定根目录下的各个子目录里,资源的链接路径都使用相对路径,这样做是为了方便应用的迁移并且易于管理。但假如该应用的某些资源要用到HTTPS协议,引用的链接就必须使用完整的路径,所以当应用迁移或需要更改URL中所涉及的任何部分如:域名、目录、文件名等,维护者都需要对每个超链接修改,工作量之大可想而知。再者,如果客户在浏览器地址栏里手工输入HTTPS 协议的资源,那么所有敏感机密数据在传输中就得不到保护,很容易被黑客截获和篡改! 方法二资源访问限制为了保护Web应用中的敏感数据,防止资源的非法访问和保证传输的安全性,Java Serv let 2.2规范定义了安全约束(Security-Constraint)元件,它用于指定一个或多个We b资源集的安全约束条件;用户数据约束(User-Data-Constraint)元件是安全约束元件的子类,它用于指定在客户端和容器之间传输的数据是如何被保护的。 用户数据约束元件还包括了传输保证(Transport-Guarantee)元件,它规定了客户机和服务器之间的通信必须是以下三种模式之一:None、Integral、Confidential。None表示被指定的Web资源不需要任何传输保证;Integral表示客户机与服务器之间传送的数据在传送过程中不会被篡改; Confidential表示数据在传送过程中被加密。大多数情况下,Integral或Co nfidential是使用SSL实现。 这里以BEA的WebLogic Server 6.1为例介绍其实现方法,WebLogic是一个性能卓越的J2 EE 服务器,它可以对所管理的Web资源,包括EJB、JSP、Servlet应用程序设置访问控制条款。 假设某个应用建立在Weblogic Server里的/mywebAPP目录下,其中一部分Servlets、JSPs要
wireshark怎么抓包、wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark 了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark. wireshark 开始抓包 开始界面 wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),用于过滤 2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏,杂项) 使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
利用AndroidHttpCapture网络抓包说明 一、目的: 抓取主流APP的访问目标IP地址和请求 二、方法: 在安卓手机上安装AndroidHttpCaptureAPP上传相应日志,再统一分析每个APP的特征。 三、使用方式: 1.设置手机代理 2.关闭其他无关APP进程 3.运行AndroidHttpCaptureAPP程序 4.运行需要抓取的APP 5.正常使用APP 6.分享日志到微信 7.重命名日志文件 四、具体步骤:
(一)设置手机代理 选择相应的网络接入点WIFI 点击修改网络,添加HTTP代理 服务器输入127.0.0.1 服务器端口8888 添加安装SSL证书,点击重新安装证书,根据提示操作即可。
第一次进入程序需要安装CA证书以便进行HTTPS抓包(原理同fiddler,MITM中间人)不安装证书的话无法抓取HTTPS的请求 预览页面可以查看从APP启动起所有网络请求数据,实现了按分页过滤、URL搜索功能,并可清空所有数据包
预览的内容包括Request Header、Request Cookie、Request Content、Response Header、Response Cookie、Response Content Content内容如果为JSON将会自动格式化显示 (二)关闭其他无关APP进程 利用系统关闭APP功能,关闭其他前台APP进程。 (三)运行AndroidHttpCaptureAPP http Interceptor (四)运行需要抓取的APP 运行相应的APP,注意不要开启其他的APP,避免分析结果不正常。
目录 1. 目的 (2) 2.认证方式 (2) 1.WEB用户接入流程 (2) 2. PEAP认证流程 (4) 3. WEB认证抓包分析 (5) 1.关联过程 (5) 2.DHCP地址分配过程 (5) 3.Portal推出以及WEB认证 (6) 1.强制Portal (6) 2.认证报文 (6) 3下线报文 (7) 4.PEAP认证抓包分析 (7) 1. 用户关联 (7) 2. 认证过程 (7) 5.抓包建议 (9) 1.过滤 (9) 1) 抓包前的过滤 (9) 2) 抓包后的过滤 (9) 2.Omnipeek使用问题 (9)
1.目的 802.11协议工作在物理层和数据链路层,为STA和AP之间建立数据连接。通过使用omnipeek来进行空口抓包能抓取到STA和AP之间802.11报文交互情况,快速的进行故障定位和分析。 本次主要是完成了WEB认证的抓包和PEAP认证的抓包,将两种认证方式的流程中STA 与AP之间数据交互信息进行了抓取分析。 2.认证方式 WLAN现网主要的认证方式有 1)WEB认证 通过强制Portal的方式将用户的http请求重定向到Portal服务器,通过Portal页面上完成认证过程。 2)PEAP(Protected EAP)是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进 行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。 1.WEB用户接入流程
2.PEAP认证流程
3.W EB认证抓包分析 1.关联过程 一个完整的关联过程包括Probe request(探测请求)、Probe response(探测响应)、Authentication(身份验证)、Association request(关联请求)、Association response(关联响应)。 图1、关联过程 1)Probe request和Probe response。首先STA广播探测请求,AP收到后返回Probe response告知用户自己的信息。如图1,STA的MAC为24:77:03:60:47:28,AP的MAC为5C:0E:8B:CD:E3:70 2)Authentication(身份验证),认证是STA 在扫描到合适的AP 之后,只有通过认 证该STA 才能通过AP 使用WLAN 。现有的认证方式有: a、open ,即不需要认证,只要交互一个null 帧 b、shared key ,需要一个4 次握手的过程(3)802.11i ,需要到认证服务器认证 3)Association.完成鉴权之后,STA发送Association request,AP返回Association response. 建立连接。 2.DHCP地址分配过程 DHCP租约过程就是DHCP客户机动态获取IP地址的过程。 DHCP租约过程分为4步: 1)客户机请求IP(客户机发DHCPDISCOVER广播包); 2)服务器响应(服务器发DHCPOFFER广播包); 3)客户机选择IP(客户机发DHCPREQUEST广播包); 4)服务器确定租约(服务器发DHCPACK/DHCPNAK广播包)。
Fiddler抓包快速实战 一、Fiddler介绍与安装 Fiddler介绍 1、Fiddler是一款HTTP协议调试代理工具,它能够抓取记录本及所有HTTP(S)请求。 其运行机制其实就是本机127.0.0.1上监听8888端口的HTTP带理。 2、Fiddler无论对开发人员或者测试人员来说,都是非常有用的工具。 3、更多介绍见百度百科 Fiddler下载与安装 1、官网地址:https://www.doczj.com/doc/5c11887532.html,/fiddler 2、先安装FiddlerXXX.exe 3、再安装Fiddlercertmaker.exe(类似安全证书) 4、然后就可以启动Fiddler了 5、启动之后的界面包括: 工具栏区、请求列表区、请求详情区、响应详情区、命令行区。 二、WEB端抓包 初次安装是不可以抓HTTPS的包的 开启/关闭抓包 快捷键:F12 左下角的开关
初次配置 点击工具栏区Tools ---> Fiddle Options 选择Fiddle Options 的Connections 在Connections 界面选择Captrue FTP requests、Allow remote computers to connect、Reuse client connections、Reuse server connections,并输入端口号。 点击“OK” 这样我们就可以捕捉到大部分的请求。 验证是否可以正常抓包 启动IE浏览器 输入https://www.doczj.com/doc/5c11887532.html, 观察左侧请求列表区是否有百度的请求 如果有则证明当前配置是成功的,可以正常抓取数据包了。
网络抓包实验 之 利用WireShark分析Http协议 —1116120209夏丽一.实验目的 学习使用网络抓包软件WireShark,理解网络协议实体之间的交互,巩固所学知识。 二.实验内容 分析Http协议请求及响应过程,掌握Tcp报文的格式。 三.实验工具 WireShark抓包软件 四.实验步骤 1.打开WireShark软件,选“Capture”—>“Interfaces”中,选择一个网卡(以以太网为例),点击“start”按钮,开始。 2.随便打开一个网站,然后在 Filter中填入“Http”过滤,点击“Apply”,即可看到与Http相关的所要抓的包。五.实验分析 选中Get /Http/1.1的这条记录,右击“Follow Tcp Stream”,就会看到下图的打开浏览器相关的数据包,同时我们还可以看到Tcp三次握手的数据包,之后才是Http的请求数据包。
Tcp第一次握手的数据包: 第1710个包为TCP的第一次握手。
客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。 由截图可知:源端口号:34301目的端口号:80,序号:0,首部长度:32ytes,Flags=0X002,接受窗口大小:8192;检验和:0x10ce。 Tcp第二次握手的数据包: 第19188个包为TCP的第二次握手。 服务器发回确认包,标志位为SYN,ACK,将确认序号设置为0+1=1。 由截图可知:源端口号:80,目的端口号:34301,序号:,0,确认号:1,首部长度:32bytes,Flags=0X012,接受窗口大小:5840;检验和:0x1a2c。 Tcp第三次握手的数据包:
抓包工具fiddler,工作中不少人都在用。它默认抓取http请求,在大多数情况下完全够用,但在需要查看https请求的时候就需要通过一些设置来让它同时抓取到http和https请求。 首先要让fiddler能够抓取移动端的请求:打开fiddler--Tools--Options...--Connection-->选中Allow remote computers to connect(允许其他设备连接)
保存之后,需要重启fiddler配置才能生效,如果只需要连接手机测试,重启之后设置手机的wifi代理,就可以愉快的测试啦~ 那如果要抓取https请求呢,不要着急重启,打开隔壁的“HTTPS”面板。把 下面的选项都勾选上,保存设置,然后重启fiddler。 重启后配置生效,接下来就需要在手机上安装Fiddler根证书,因为fiddler是通过自己生成的证书对网络请求重新签名进行https会话解密的。 先修改手机网络配置,设置代理,再在手机浏览器上访问FiddlerServer地址,如图则在浏览器中访问10.240.128.142:8888,出现Fiddler Echo Service页面,点击FiddlerRoot certificate,然后允许安装证书。
成功证书安装后,安卓手机的朋友们就可以成功用fiddler抓取https请求了~,但是ios的手机还需要多一步: 首先,在设置--通用--描述文件与设备管理(或者设备管理)中,能找到对应fiddler证书,点进去,确保它是已验证状态; 然后,再去设置--通用--关于本机--证书信任设置中打开对fiddler证书的信用;(为什么叫DO_NOT_TRUST_FiddlerRoot嘞?嗯,我也不造~)
解析手机用户的使用习惯与交互设计原则 在讨论手机的交互设计方法之前,需要先对手机的用户使用习惯有一些基本的了解,需要对手机的用户体验信息做一些收集整理。收集用户体验信息首先需要确定两个问题:一是确定目标用户群体;二是确定信息收集的方法和途径。 一、用户体验信息收集 在讨论手机的交互设计方法之前,需要先对手机的用户使用习惯有一些基本的了解,需要对手机的用户体验信息做一些收集整理。收集用户体验信息首先需要确定两个问题:一是确定目标用户群体;二是确定信息收集的方法和途径。 在确定目标用户群体的时候,很显然的是,已有产品有过使用和交互经验,具备该产品或系统的交互体验的用户,相比较于那些没有体验的用户,可以为设计提供更多更有效的信息。因此在收集用户体验信息时,应该首先考虑所需设计的产品的用户或是有过类似产品使用经验的用户。在理想的情况下,当用户体验产品的交互时,设计师可以通过某种技术或是研究方法获得用户的全部感官印象,掌握他们的情感体验。然而这些主观的体验信息很难用实验室的方法收集或是客观的科学描述表达出来。因此我们只能寻求贴近实际的近距离接触用户体验的方法,就是深入访谈和现场观察。 我们需要调研的信息有: 1.硬件部分: 手机的持机模式(右手操作、左手操作、双手操作); 手机的操作模式(手指触控、笔触、按键、滚轮、长按); 两种操作模式下的输入方式(全键盘、九键、触屏键盘、手写); 信息反馈形式(屏幕信息输出、声音、振动、灯光)对用户的影响; 2.软件部分: 用户对屏幕信息结构的认识(空间位置、信息排列顺序、信息的分类)
用户对信息导航的使用(菜单、文件夹管理、搜寻特定文件) 用户对信息传达的理解(图形信息、文字信息) 用户对交互反馈的获知(每个操作是否有明确的反馈) 3.积极的用户体验: 特殊交互模式带来的新奇感受——有趣 简洁的操作步骤和有效的信息提醒方式——信任感 软件运行速度,信息处理过程——操纵感和成就感 允许误操作,有效引导——安全感 交互过程中的完美感官体验(视觉、听觉) 类似于电脑操作过程的交互(有电脑使用经验的用户)——熟悉感和成就感品牌元素在交互上的延续性——熟悉感和优越感 4.消极的用户体验: 系统出错、没有提示信息——压力、紧张和茫然 缺少误操作的补救机制——挫败感、压力 交互步骤的繁复难记——挫败感 提示信息的不明确(不符合用户模型)——茫然 过程处理时间过长——焦虑 二、用户分类
SSL通信过程分析 一、SSL建立握手连接目的 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现。 2.client与server交换session key,用于连接后数据的传输加密和hash校验。 二、简单的SSL握手连接过程 (仅Server端交换证书给client): 1.client发送ClientHello,指定版本,随机数(RN),所有支持的密码套件(CipherSuites) 2.server回应ServerHello,指定版本,RN,选择CipherSuites,会话ID(Session ID) 3.server发送Certificate 4.Server发送ServerHelloDone 5.Client发送ClientKeyExchange,用于与server交换session key 6.Client发送ChangeCipherSpec,指示Server从现在开始发送的消息都是加密过的 7.Client发送Finishd,包含了前面所有握手消息的hash,可以让server验证握手过程是否被第三方篡改 8.Server发送ChangeCipherSpec,指示Client从现在开始发送的消息都是加密过的 9.Server发送Finishd,包含了前面所有握手消息的hash,可以让client验证握手过程是否被第三方篡改,并且证明自己是Certificate密钥的拥有者,即证明自己的身份 三、抓包实际分析连接过程 下面从抓包数据来具体分析这一过程并说明各部分数据的作用以及如实现前面列出的握手的目标,当然了,最重要的还是说明为何这一过程是安全可靠的,第三方无法截获,篡改或者假冒。 1.client发送ClientHello