我计划从登录屏幕开始,在 HTTPS 中运行应用程序的登录部分。一旦用户登录并完全通过 HTTPS 继续其 session ,如何执行 MITM 攻击?这种攻击不是要弄清楚双方在说什么吗?
我正在使用带有 WCF 服务的 asp.net,稍后将移植到 Azure。
谢谢。
最佳答案
如果您的登录 session 使用 HTTPS 加密,那么您就可以免受 MITM 攻击。客户端将使用服务器的公钥加密的数据发送到服务器,该数据只能使用服务器的私钥解密。然后,客户端和服务器将使用此安全通道就用于其通信的 key 达成一致。
MITM 攻击者无法获取私钥,因为它是私有(private)的。他们无法提供目标域的证书,因为证书只能从 CA 获取,并且(理论上)您的浏览器信任的 CA 不会签署域的证书,除非他们证明自己拥有该证书。他们无法获取 session key ,因此不可能进行 MITM 攻击。
关于asp.net - HTTPS 和 MITM 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10423647/