1.https把流量加密了怜珍,正常抓包夫椭,你看到的內(nèi)容是一堆亂碼劣欢。
2.https的加密沒有安全問題盛垦,但它只是用來防止通信過程中被第三方獲取明文湿弦。如果黑客能直接控制通信的雙方(你的電腦,或服務(wù)器)腾夯,那么黑客肯定能看到https明文的颊埃。
3.所以,你用charles之所以能看到https明文蝶俱,是因?yàn)槟阍试S了charles在你的電腦上做手腳班利,關(guān)鍵就是你同意charles在你電腦上安裝證書。
4.具體一點(diǎn)榨呆,charles通過使用了https代理功能罗标,來完成查看https明文的目的,也就是SSL中間人攻擊积蜻。簡單來說闯割,你并不是直接與https的另一端通信,而是與charles通信竿拆,charles再與另一端通信宙拉,這種結(jié)構(gòu)下,charles才能看到通信明文丙笋。這個(gè)問題的原理比較復(fù)雜谢澈,涉及到整套RSA系統(tǒng)煌贴,想了解原理的話,建議去看【信息安全】相關(guān)書籍锥忿,但這類書籍的門檻非常高牛郑。另外Fiddle也有這個(gè)功能,而且原理也一樣敬鬓。
