文章大纲：

• 1、为什么网站需要https，防黑客攻击吗
• 2、怎么入侵https网站修改个人信息
• 3、使用HTTPS 的网站也能被黑客监听到数据吗
• 4、使用HTTPS的网站也能被黑客监听到数据吗？
• 5、网站换https了以后，能有效防止cc攻击吗
• 6、专家也要小心，HTTPS的网站就一定安全吗

为什么网站需要https，防黑客攻击吗

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器Netscape Navigator中，提供了身份验证与加密通讯 *** 。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面

怎么入侵https网站修改个人信息

入侵这个词过于残暴了，你可以联系网站管理员，https网站是因为经过ssl证书加密的，说明你的访问更加安全可信

使用HTTPS 的网站也能被黑客监听到数据吗

HTTPS 是安全的。HTTP 在 DNS 被劫持后，可以被随意窃听、修改。

问题在于，你在访问私密页面时（比如网银），你的浏览器使用是 HTTP 还是 HTTPS。

现在很多网站，包括国内银行，并不是所有网页都在使用 HTTPS。

这就意味着，攻击者可以篡改那些使用 HTTP 的网页（或 CSS、 *** 等其他资源）。

以工行为例。网银页面当然是在 HTTPS 的保护之下的：

但是工行的首页，是不提供 HTTPS 连接的：

这就意味这，工行的首页实际上是可以被任意篡改的。（在 *** 环境不安全的情况下）

这有什么问题呢？

如果一个用户，想登陆网银，但他是先进的工行首页，然后再点击首页上的“登陆”链接：

那就危险。这个“登陆”链接可能会被篡改，由 https://… 改为 http://…。

此时，浏览器便会以不安全的 HTTP 与服务器建立连接！

攻击者便可以使用类似 SSLStrip 的工具，将浏览器的 HTTP “转成” HTTPS，再发给银行服务器。

用户 == HTTP == 攻击者 == HTTPS == 银行

如果用户在这个 HTTP 的网银页面输入了自己的密码，就等于发给了攻击者。

用户能察觉吗？能！

在登录前瞄一眼浏览器地址栏，没有带锁的安全标识、非 https:// 开头（见之一幅图），即能知晓自己被攻击了。

但是，有多少用户会注意到这些？（浏览器不会有任何警告，银行也不会察觉）

网银的例子可能还不太好，应该不少人是像我一样，直接点收藏夹的链接登陆。这个链接不会被篡改。但是，在 这样登陆、下单时反复在 HTTP 和 HTTPS 间反复跳转的呢？你是否留意该转 HTTPS 的地方转 HTTPS 了吗。

（一段跑题）有的网站更“吝啬”，连登陆页面都不用 HTTPS，自作聪明地使用 Javascript 加密用户密码。但由于这些 *** 本身可以被篡改，而且篡改后一般用户根本无法察觉，所以这么做更像是在自我安慰。实际上据说已经发生过这类攻击（你们以为运营商只是HTTP插点广告而已么，图森破啊，呵呵 -- WooYun）。

如何防范：

作为用户，平常留意一下哪些页面是使用 HTTPS 的，输入密码前确认一下地址栏：域名是否正确？是否是 https:// 开头，带有小锁的图标？

将常用的网银登陆页面加入浏览器收藏夹。

作为网站，现在越来越多的网站在全站部署 HTTPS，比如支付宝、推特、GitHub 等等。虽然会增加成本，但这是对用户负责。我认为这值得推广。

（以上这些问题，应该说是普遍存在的。拿这几个网站举例，只是因为这几个网站是我最常使用的、最熟悉的罢了，没有其他什么意思。）

使用HTTPS的网站也能被黑客监听到数据吗？

HTTPS不是牢不可破的。使用HTTPS的网站当然也能被黑客监听到数据。我们就以抓取今日头条PC版和APP来演示一下抓取HTTPS包的 *** 。

一、电脑浏览器抓包，推荐用chrome浏览器。

我们以抓取以今日头条里的搜索海阳顶端头条号数据为例。用chrome打开然后在搜索框里输入海阳顶端四个汉字。先不要点搜索，按下F12，在右侧面板顶上选中Network，再点击搜索按扭。

你会看到我们已经抓取到了在今日头条上搜索海阳顶端的HTTP数据包。我们这次抓到是GET包，URL是：

如果你直接在浏览器里输入这些，会返回一些 *** ON数据:

{"message":"success","data":["海阳顶端","海阳顶端黑客教会你","海阳顶端给你准备好了"]}

里边的success，我们还是看得懂的。而且用chrome，无论是http的还是加密的https数据我们都能抓到。

二、手机抓取浏览器数据包，推荐用HttpInterceptor

我们不用网上教程中的burpsuite和fiddler，两个软件不仅全英文的，而且操作也麻烦，需要电脑和手机配合，我们只需一个HttpInterceptor，国人 *** ，并且只用一个手机就可以。下载地址是装这个软件之前，你需要手机先设定一个锁屏密码。

1、之一次进入程序需要安装CA证书以便进行HTTPS抓包（原理同fiddler，MITM中间人）。现在很多数据包都是https的了，我们必须做这步。安装后程序会让你点击确认按钮，屏幕Toast显示已安装即为成功，可访问进行测试。

2、全局抓包。上边做到的只能抓浏览器的包，要抓APP里的，好比抓今日头条APP的包呢？需要将 *** 手动修改至127.0.0.1:8888，可抓取别的APP的HTTP数据包。长按已连接的WIFI，修改 *** ，显示高级选项，修改 *** 服务器为手动，然后写入 *** 主机名和端口分别为127.0.0.1:8888。

3、一切修改完成后，我们不要关HttpInterceptor，打开今日头条APP后，随便看一篇文章，就在HttpInterceptor里看到抓取的数据了。 我看的是《如何用域名等资料反查企业信息？海阳顶端黑客教会你》这篇文章，这么好的文章，点击量怎么哪么低。我们点击HttpInterceptor主界面的个向上箭头的圆图标：

选中你抓取数据包的哪条URL，再点预览，就出详细数据包了。把这篇文章的参数看得很清楚啦。

这下子，电脑和手机里的浏览器（包括发送http数据的app）抓包你是不是会了呢？这篇文章本来在我的头条号里，我搬过来回答你一下，欢迎大家关注海阳顶端。

网站换https了以后，能有效防止cc攻击吗

HTTPS无法防御cc攻击。HTTPS协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。

总结来说，HTTPS的改进点在于创造性的使用了非对称加密算法，在不安全的网路上，安全的传输了用来进行非对称加密的密钥，综合利用了非对称加密的安全性和对称加密的快速性。

扩展资料

HTTPS 原理

1、客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器；

2、 服务器从算法列表中选择一种加密算法，并将它和一份包含服务器公用密钥的证书发送给客户端；该证书还包含了用于认证目的的服务器标识，服务器同时还提供了一个用作产生密钥的随机数；

3、 客户端对服务器的证书进行验证，并抽取服务器的公用密钥；然后，再产生一个称作 pre_master_secret 的随机密码串，并使用服务器的公用密钥对其进行加密，并将加密后的信息发送给服务器；

4、 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥；

5、客户端将所有握手消息的 MAC 值发送给服务器；

6、服务器将所有握手消息的 MAC 值发送给客户端。

专家也要小心，HTTPS的网站就一定安全吗

HTTPS网站不一定100%安全，但是没有https就更加不安全。就好比ml做了安全措施不一定100%保险，不做安全措施100%中标。

当您访问受SSL证书保护的网站时，如果有中间人攻击或其他不安全因素，浏览器会自动警告，提示告知您可能面临的风险；

而没有SSL证书保护的网站，采用不安全的http明文传输协议，根本无需中间人攻击，隐私信息直接明文“裸奔”了，不是专业黑客，也能截获隐私数据。此外，http没有一种签名机制，来验证内容的真实性，即使页面被篡改了，浏览器也完全无法得知，更无法预警告知用户。

目前所有电商网站，银行站点都会部署如沃通EV SSL证书 实现https加密。