柚子快報激活碼778899分享：網(wǎng)絡協(xié)議 Https的前世今生

Kikuu奇酷購綜合2025-05-05340

http://yzkb.51969.com/

1、年前會議

最近，公司業(yè)務上的需求少了很多，這不，王小二他們召開了一場技術會議，盤點能干點啥。

只見C哥寫了一份清單，其中一項是全站升級https。

C哥說：https是一種趨勢，但目前我們接口還是http的。appstore也一直要求使用https，從安全性以及appstore審核的角度來看，我們年前得全站升級https。有誰自告奮勇嗎？

小二想了一下：我來做吧C哥，正好了解下https。

C哥：好，小二，那你接下來研究下https，然后有時間再給我們分享下。

小二：好的C哥，保證完成！

2、深藏不露張三胖

聽說小二要做https，運維張三胖走到小二身旁。

張三胖：小二，聽說你要做https?

小二：是啊，三胖哥，我們得全站升級https。你之前了解過嗎？

張三胖：哈哈，我還真了解過，升級https是個不錯的注意。

小二：三胖哥，那太好了，你有時間給我講講?我就不用花時間去查資料了。

張三胖：好，我現(xiàn)在正有時間，給你講講，也正好復習下。

小二：多謝三胖哥，今中午請你吃飯啊。

3、對稱加密不足夠

三胖：小二，假設你用http協(xié)議給你女朋友發(fā)一封私密消息。這樣有沒有泄密的風險呢？

小二：當然有了，http協(xié)議是明文傳輸，傳輸數(shù)據(jù)過程中的任何第三方都可以截獲并篡改該明文。

三胖微微一笑：是的，我們畫幅圖表示下，你就知道信息被篡改多尷尬了，哈哈。

小二：??？確實是，那這樣太尷尬了。我女朋友不打死我…

三胖：其實用https就可以規(guī)避。

三胖：小二，你了解對稱加密與非對稱加密嗎？

小二：了解一些。對稱加密就是加密與解密的秘鑰是相同的。而非對稱加密就是公鑰加密的內容，必須用私鑰才能解密，私鑰加密的內容，必須用公鑰才能解密。

三胖：小二了解的還挺多嘛，其實https就是利用了對稱加密與非對稱加密的特性。但你要注意，對稱加密的速度是非對稱加密速度的100倍左右。

小二：三胖哥我明白了，那你用剛才的例子給我講講https的原理吧。

三胖：好，就用剛才的例子。對稱加密速度很快，所以你跟你女朋友的數(shù)據(jù)傳輸最好用對稱加密。

小二：可以啊，那我跟我女朋友就先約定好一個秘鑰唄？

三胖：是的，我們再畫張圖表示你們的數(shù)據(jù)傳輸過程。

小二：是啊，胖哥，這樣別人就沒法截獲我的信息了。

三胖：對。并且因為對稱加解密的速度很快，對你們數(shù)據(jù)傳輸速度的影響微乎其微。但是，你怎么跟你女朋友溝通協(xié)商秘鑰呢？

小二：這還不簡單，我直接網(wǎng)上告訴他就可以啊。

三胖：哈哈，不可以。你明文通過網(wǎng)絡傳輸?shù)拿罔€被人截取了怎么辦？

小二：?。看_實是，別人截取秘鑰后又可以篡改我的信息了。

三胖：這時候就需要用到我們的非對稱加密來協(xié)商你們對稱加密的秘鑰了。

4、非對稱加密解憂愁

三胖：小美生成自己的公鑰和私鑰，通信之前，她告訴你她的公鑰就可以了，這個公鑰因為是公開的，所以可以隨意在網(wǎng)絡中傳輸了。

小二：這樣啊，我明白了C哥。我得到小美的公鑰后，然后用小美的公鑰，對對稱加密的密碼進行非對稱加密后發(fā)給小美。小美再通過他的私鑰解密后，就獲取了我生成的對稱加密的密碼了。是不是？

三胖：對，就是這樣的。但是還有一個頭疼的問題，你怎么確保你得到的就是小美的公鑰呢？假設中間人給你截獲篡改了呢？

小二：嗯…這確實是個問題。中間人把他的公鑰發(fā)給我，這樣我就使用中間人的公鑰加密我們對稱加密的密碼了，然后中間人再用他的私鑰解密出我們對稱加密的密碼。這時候中間人已經(jīng)截取了小美的公鑰，然后再把我們對稱加密的密碼通過小美的公鑰加密后發(fā)給小美…太可怕了，我們對稱加密的秘鑰就這樣被竊取了。

三胖：其實抓包工具charles之所以能抓https的包，就是利用的你說的這個原理，一會我們再細說。那現(xiàn)在問題就變成了，你怎么確保你得到的公鑰就是小美的。

小二：哎，真讓人頭疼…

三胖：你知道我們平時都有公證處吧？這個公證處是一個可信的結構，經(jīng)他公證的東西，都是具有可信力度的。

小二：知道啊，前幾天還看新聞說一個老太把他在帝都的一套房產(chǎn)通過公證處公證給了一個沒有血緣關系的小伙。

三胖：那你想想，如果小美的公鑰經(jīng)過公證后，是不是就能證明這個公鑰是小美的呢？

小二：當然能夠證明。只是網(wǎng)絡中存在這樣的公證處嗎？

三胖：還真存在這樣的公證處，我們把網(wǎng)絡中的公證處稱為CA吧。不得不佩服前輩們，他們把一些可信的CA的證書都預先存在我們的電腦里了，證書包括CA的信息和CA的公鑰。只要你電腦安裝了系統(tǒng)，就安裝了這些證書。來，你看看我電腦里默認安裝的證書。

小二：哦哦，明白了，意思就說這些默認的CA證書是絕對可信的。

三胖：對，就是這個意思。所以，只要CA同時給小美頒發(fā)一個證書證明是小美就可以了。CA給小美頒發(fā)的證書中，含有小美的個人信息以及小美的公鑰。同時，CA也會給小美頒發(fā)一個私鑰。

你先把小美想象成百度，我們先來看CA給百度頒發(fā)的證書。

小二：也就是說，只要保證CA給小美頒發(fā)的證書能夠安全傳輸?shù)轿疫@里來就可以了。

三胖：對，現(xiàn)在的問題就轉換成了。小美的證書如何能夠安全的傳輸?shù)侥氵@里？其實，CA給小美頒發(fā)的證書中，包含【小美的信息+公鑰】、以及數(shù)字簽名。數(shù)字簽名的內容是：使用CA私鑰加密過的【小美的信息+公鑰】的hash值。

小二：哦哦，我好像明白了。CA的證書包含CA的公鑰以及CA的一些信息，并且CA的證書默認存儲在我的電腦里了，那我就可以使用CA的公鑰進行解密操作，從而驗證小美的證書是否是正確的了。

三胖：對的。我們可以使用你電腦里CA的公鑰解密小美證書里的數(shù)字簽名，從而得到簽名的hash值。然后，你再用同樣的hash算法對【小美的信息+公鑰】進行hash計算。如果小美證書里簽名的hash值與你自己計算出來的hash值一致，就說明這個證書確實是小美的，否則就不是小美的證書。

小二：三胖哥，我算是明白了。https還真是麻煩，但也確實保護了我們的隱私。

三胖：對，有失必有得嘛！

小二：嗯嗯。我現(xiàn)在通過小美的證書安全的獲取了小美的公鑰。那我這兒隨機生成一個對稱加密的秘鑰，這個對稱加密的秘鑰再通過小美的公鑰加密后，就能安全的傳輸給小美了。

三胖：是，小美再用他的私鑰解密，就獲取了你們約定的對稱加密的密碼了。以后，你們就可以使用對稱加密來傳輸數(shù)據(jù)，暗送秋波了，哈哈~

小二：三胖哥真是太厲害了，從此再也不用擔心跟我女朋友聊天被惡搞了。

三胖：哈哈。你把你自己想成瀏覽器，把小美想成服務器。這就是整個https的傳輸流程。

小二：明白了，我畫一下https在瀏覽器與服務器之間的運行流程，三胖哥你看下對不對。

三胖：不錯不錯，小二很厲害嘛，基本就是這個流程。

小二：沒有沒有，還得多謝三胖哥的指教啊，哈哈。

5、Charles抓取https包的原理

三胖：小二，我們知道charles抓包工具能夠抓取https的包，你知道這是什么原理嗎？

小二：這我還真不知道，按理說https是絕對安全的協(xié)議，內容不會被charles抓取啊。

三胖：你記不記得，使用charles抓https包的時候，需要在你手機上安裝charles證書并且信任該證書？

小二：對對，是有這一步操作。

三胖：就是這一步操作，可以使Charles抓取你的https包。我給你畫個流程圖你就明白了。

小二：原來是這樣，這不就是我剛才說的問題嘛。那么就說明https不是安全的協(xié)議了？

三胖：不是的。因為你安裝并信任charles證書，是你自己主動的操作，也可以說是你自己主動泄密的結果。如果你不信任該charles證書，那么數(shù)據(jù)就不會被傳輸，連接會被直接中斷。所以https還是安全的協(xié)議。

小二：我明白了，確實是這樣，多謝三胖哥。

Happy Done

https的原理明白了，接下來的事情自然就水到渠成了。

小二列出了接下來要做的事情： 1、向CA(公證處)申請自己網(wǎng)站的證書； 2、修改代碼里靜態(tài)資源的http鏈接為https鏈接； 3、修改ajax里面的http鏈接為https鏈接； 4、將證書部署在nginx上； 5、自測完成。

按照這個列表，小二一步步的順利完成了。

最終，https上線完成，愜意的享受午后的陽光吧，happy done~

接下來我將給各位同學劃分一張學習計劃表！

學習計劃

那么問題又來了，作為萌新小白，我應該先學什么，再學什么？既然你都問的這么直白了，我就告訴你，零基礎應該從什么開始學起：

階段一：初級網(wǎng)絡安全工程師

接下來我將給大家安排一個為期1個月的網(wǎng)絡安全初級計劃，當你學完后，你基本可以從事一份網(wǎng)絡安全相關的工作，比如滲透測試、Web滲透、安全服務、安全分析等崗位；其中，如果你等保模塊學的好，還可以從事等保工程師。

綜合薪資區(qū)間6k~15k

1、網(wǎng)絡安全理論知識（2天） ①了解行業(yè)相關背景，前景，確定發(fā)展方向。 ②學習網(wǎng)絡安全相關法律法規(guī)。 ③網(wǎng)絡安全運營的概念。 ④等保簡介、等保規(guī)定、流程和規(guī)范。（非常重要）

2、滲透測試基礎（1周） ①滲透測試的流程、分類、標準 ②信息收集技術：主動/被動信息搜集、Nmap工具、Google Hacking ③漏洞掃描、漏洞利用、原理，利用方法、工具（MSF）、繞過IDS和反病毒偵察 ④主機攻防演練：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系統(tǒng)基礎（1周） ①Windows系統(tǒng)常見功能和命令 ②Kali Linux系統(tǒng)常見功能和命令 ③操作系統(tǒng)安全（系統(tǒng)入侵排查/系統(tǒng)加固基礎）

4、計算機網(wǎng)絡基礎（1周） ①計算機網(wǎng)絡基礎、協(xié)議和架構 ②網(wǎng)絡通信原理、OSI模型、數(shù)據(jù)轉發(fā)流程 ③常見協(xié)議解析（HTTP、TCP/IP、ARP等） ④網(wǎng)絡攻擊技術與網(wǎng)絡安全防御技術 ⑤Web漏洞原理與防御：主動/被動攻擊、DDOS攻擊、CVE漏洞復現(xiàn)

5、數(shù)據(jù)庫基礎操作（2天） ①數(shù)據(jù)庫基礎 ②SQL語言基礎 ③數(shù)據(jù)庫安全加固

6、Web滲透（1周） ①HTML、CSS和JavaScript簡介 ②OWASP Top10 ③Web漏洞掃描工具 ④Web滲透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏掃等）那么，到此為止，已經(jīng)耗時1個月左右。你已經(jīng)成功成為了一名“腳本小子”。那么你還想接著往下探索嗎？

階段二：中級or高級網(wǎng)絡安全工程師（看自己能力）

綜合薪資區(qū)間15k~30k

7、腳本編程學習（4周）在網(wǎng)絡安全領域。是否具備編程能力是“腳本小子”和真正網(wǎng)絡安全工程師的本質區(qū)別。在實際的滲透測試過程中，面對復雜多變的網(wǎng)絡環(huán)境，當常用工具不能滿足實際需求的時候，往往需要對現(xiàn)有工具進行擴展，或者編寫符合我們要求的工具、自動化腳本，這個時候就需要具備一定的編程能力。在分秒必爭的CTF競賽中，想要高效地使用自制的腳本工具來實現(xiàn)各種目的，更是需要擁有編程能力。

零基礎入門的同學，我建議選擇腳本語言Python/PHP/Go/Java中的一種，對常用庫進行編程學習搭建開發(fā)環(huán)境和選擇IDE，PHP環(huán)境推薦Wamp和XAMPP，IDE強烈推薦Sublime；

Python編程學習，學習內容包含：語法、正則、文件、網(wǎng)絡、多線程等常用庫，推薦《Python核心編程》，沒必要看完

用Python編寫漏洞的exp,然后寫一個簡單的網(wǎng)絡爬蟲

PHP基本語法學習并書寫一個簡單的博客系統(tǒng)

熟悉MVC架構，并試著學習一個PHP框架或者Python框架 (可選)

了解Bootstrap的布局或者CSS。

階段三：頂級網(wǎng)絡安全工程師

如果你對網(wǎng)絡安全入門感興趣，那么你需要的話可以點擊這里?網(wǎng)絡安全重磅福利：入門&進階全套282G學習資源包免費分享！

學習資料分享

當然，只給予計劃不給予學習資料的行為無異于耍流氓，這里給大家整理了一份【282G】的網(wǎng)絡安全工程師從入門到精通的學習資料包，可點擊下方二維碼鏈接領取哦。

mg.cn/eab3902215ce441db1d0a7c73982913f.png#pic_center)

學習資料分享