https原理(九)目录
摘要:https代理服务器(三)实践 开始使用mkcert https原理(三)双向实践(curl) 1双向为什么能抵抗中间人【重要】 2mkcert签发客户端 springboot服务端,验证客户端证书,81de69b2a5f3032e8eaa98ef3c157373ce9aa609 server.ss
阅读全文
posted @ 2025-02-01 16:34
随笔分类 - 安全
mongo no subject alternative dns name matching【重要】
摘要:1 mongo相关的参数 --tlsAllowConnectionsWithoutCertificates 允许客户端连接而不提供证书 --tlsAllowInvalidHostnames 允许服务器证书提供不匹配的主机名 --tlsAllowInvalidCertificates 允许连接到证书无
阅读全文
posted @ 2024-11-22 19:29
tomcat白名单(九)完结
摘要:about health check api: PeriodTLS termination modesprint boottcp tunnelhealth checkcomment before Sept 2023 edge http 20000 / http 20000 Sept 2023 - A
阅读全文
posted @ 2024-04-29 15:13
tomcat白名单(八)SNI侵入2
摘要:继tomcat白名单(五)其他 0 先看一下sni的作用 四层 七层 浏览器(客户端) dns解析 connect ip 在clientHello中用浏览器地址栏host塞入sni 在http头中塞入Host头 网关(服务端) 根据SNI路由 根据Host头路由 openshift根据SNI路由pa
阅读全文
posted @ 2024-03-01 17:29
U盾密码学【重要】
摘要:ssl搞那么复杂,都是为了阻止对称密钥在通信过程被拦截,那么就不用通信,直接物理上给你 U盾中可以存一个对称密钥,避免对称密钥在网络上传输被拦截; 2025年2月 { 但对称密钥有个问题,对称密钥的另一半在银行,银行有内鬼的话就完了; 所有U盾里面应该藏了一个银行帮你弄的密钥对的私钥 转账时,用U盾
阅读全文
posted @ 2024-02-23 17:19
tomcat白名单(七)方案三,随机数侵入
摘要:1 搜集 1.1 https://blog.csdn.net/SkyChaserYu/article/details/105840504 TLS1.3 抓包分析 Random,随机数,是由安全随机数生成器生成的32个字节。 1.2 https://blog.csdn.net/lcl088005/ar
阅读全文
posted @ 2023-10-23 00:19
tomcat白名单(六)方案二,SNI侵入
摘要:侵入ClientHello协议 1 windows 本地 1.1 netty client connect localhost:20000, host put in 6u-21370 通过 1.2 打开UIServer,开ssl,8081 浏览器输入https://localhost:20000/
阅读全文
posted @ 2023-10-22 23:52
tomcat白名单(五)其他
摘要:0 跟我想法一致 https://www.coder.work/article/2852937 我想从 TLS Client Hello Message 中找到主机名。我想在 java 为透明 ssl 代理完成握手之前找到主机名。 有没有什么方法可以在不编写整个 ssl 握手 逻辑的情况下找到 SN
阅读全文
posted @ 2023-10-18 21:22
tomcat白名单(四)正向代理
摘要:1 Http的CONNECT并不是所有的Proxy Server都实现了,所在这里选择Proxy Server的时候需要注意一下。通常所用到的Proxy Server如Squid和Nginx,Squid是支持Http CONNECT,而Nginx就是不支持的。 https://blog.csdn.n
阅读全文
posted @ 2023-10-17 23:56
comcat白名单(三)http是否有Connect tunnel
摘要:mac curl http://localhost:9999/hhh --proxy "localhost:1999" localhost:9999不需要存在 结论: 1 localhost:9999存在于Host头 2 这个请求为Get,不是Connect 3 远端connect失败,close
阅读全文
posted @ 2023-10-17 23:22
tomcat ip白名单(二)openshift无法同时支持http和https tunnel(http+tcp),方案一流产
摘要:1 openshift 背景,为什么项目二(http springboot用https域名访问)与项目一(双向ssl透传)可以共存 * edge - TLS termination is done by the router and http is used to communicate with
阅读全文
posted @ 2023-10-17 00:08
sock5代理及隧道
摘要:1 引出 https://www.cnblogs.com/du-better/p/6519502.html java 使用代理发邮件 java发送邮件功能支持代理,但是不支持http代理,支持sock代理(支持SOCKS V4或V5协议)并且连接代理不需要用户名和密码。 使用的是JDK版本需要1.5
阅读全文
posted @ 2023-10-10 12:57
tomcat ip白名单
摘要:1 如果加在四层,则拿到的是f5的ip 如果加在七层,报文可以伪造 2 https://www.jianshu.com/p/d67dbd236748?utm_campaign=hugo&utm_content=note&utm_medium=seo_notes&utm_source=recommen
阅读全文
posted @ 2023-10-08 00:36
证书链
摘要:一层公钥-一层签名二层公钥-一层签名三层公钥-一层签名 二层公钥解密三层签名,验证三层公钥一层公钥解密二层签名,验证二层公钥root公钥解密一层签名,验证一层公钥
阅读全文
posted @ 2023-03-16 11:56
https原理(七)其他
摘要:1 fiddler原理+fiddler为什么抓chrome而不能抓curl和httpclient?fiddler为什么能篡改报文? 中的ssl pinning 本质即是双向ssl https://zhuanlan.zhihu.com/p/60392573/有一个破解的案例 2 单向ssl破解 htt
阅读全文
posted @ 2023-03-02 23:25
https原理(八)Tunnel
摘要:Tunnel既不是给https用的,也不是给代理用的,是给https代理用的 之所以以前老觉得Https也有一个tunnel,是因为每次看https请求,fiddler本身就是http代理,本来就会有tunnel https本身是没有Connect method的 Tunnel & CONNECT
阅读全文
posted @ 2023-03-02 23:15
https原理(六)系统分析
摘要:先解决此前的问题: 1 http原理(三)双向实践(curl) need时java 客户端可访问,但没客户端证书;want时有 后来发现,没有给truststore,猜测为,当springboot读到need,没有读到truststore时,没有强制检验的手段,直接放弃双向握手 后证实如果不给tru
阅读全文
posted @ 2023-02-24 23:52
https原理(五)双向实践(https代理)
摘要:本文为了证明: 1 双向可以通过直接转发tcp的中间人代理网关 2 双向可以防止明文中间人 开始。(服务端need,使用myhost.com-pub-capub.jks,myhost.com-pub-capub.p12不认) 客户端 透明中间人 明文代理 结果 备注 (1) myhost.com.p
阅读全文
posted @ 2023-02-23 23:16
https原理(四)双向实践(java客户端+tcp代理)
摘要:本文采用客户端与服务端共用一个密钥对 1 将https代理服务器(三)实践中的mkcert p12分解为一个公钥一个私钥 mac@macdeMacBook mkcert % openssl pkcs12 -clcerts -nokeys -out myhost.com.pem -in myhost.
阅读全文
posted @ 2023-02-23 00:05
https原理(三)双向实践(curl)【重要】
摘要:接 https代理服务器(三)实践,实践双向ssl 本文采用客户端与服务端不同密钥对 1 mkcert myclient 生成客户端公钥 私钥 2 mkcert -pkcs12 myclient 也可以直接生成p12 非对称钥匙对 请注意,根据https原理(四)双向实践(java客户端+tcp代理
阅读全文
posted @ 2023-02-20 16:51
