我正在尝试使用无法看到的硬件设备解密 https 对话,以更改或下载私钥。这可能吗?
答案1
答案2
如果你不严格遵守硬件方式或破解公钥-私钥机制……还有其他方法
有办法在实施层面击败 SSL......
举例来说,如果初始页面以纯 HTTP 形式查看,而 HTML 页面使用 HTTPS 链接编码以通过其发送凭证,那么像 SSL Stripping 这样的攻击就可能危及凭证……
还有会话劫持攻击,例如“Sidejacking”,如果 cookie-auth 结构处理不当,可能会导致整个 web 服务被攻陷,而不会泄露凭证
答案3
根据硬件的不同,您可能无法访问私钥(或者对于某些设备,您可以通过管理界面访问)
这才是重点。
如果攻击者能够获得私钥,那么安全性就会被破坏,因此私钥将永远不会被传输。您的 pcap 将不会有它(或者如果有,您将需要使用不同的硬件,因为这不安全!)