这是一个创建于 365 天前的主题,其中的信息可能已经有所发展或是发生改变。
按照以往的经验,使用 https 的话,只需要加签验证发送源合法就好了。
 |
1
ding2dong 2023-11-24 09:14:25 +08:00
防证书劫持被人抓包?
|
 |
2
dzdh 2023-11-24 09:22:03 +08:00
|
 |
3
mwftts 2023-11-24 09:27:57 +08:00 via Android
非程序员的回答
消息才是真正的业务随机值,密钥反而是固定的字符串。哈哈 |
 |
4
tool2d 2023-11-24 09:41:36 +08:00
可能商家在安卓上被 https 抓包抓怕了,https 毕竟是协议层,不自己二次加密,不放心啊。(虽然微信支付是 IP 白名单的)
|
 |
5
lichao 2023-11-24 10:03:19 +08:00
重放攻击?
|
 |
6
zhwguest OP 首先谢谢各位的热心解答。
对于抓包,我不是特别能理解。一般来说,抓包是为了进行协议分析而不是内容收集。因为抓包的大多数环境实际上并不能广泛适用,自己 root 一个手机、设置一个环境可以抓包,但是这样的主动环境抓几个包除了分析感觉也做不了啥事情(这样的环境真要搞事情,很多其他的手段,接口上的加解密也没啥太大用)。协议分析的话,接口文档描述得清清楚楚明明白白,应该也用不着。 对于重放,我也觉得不太像。如果加密本身不解决重放的问题,重放密文一样可以攻击。 |
Select Language