![]() | 1 Shura 2017-12-21 17:53:30 +08:00 ~ curl go/programmer -v * Trying 162.221.6.251... * TCP_NODELAY set * Connected to www.v2ex.com (162.221.6.251) port 443 (#0) 域名 ip 都可以获得,如果网站没开 HSTS 还可以通过 https 降级攻击钓鱼。 |
![]() | 2 noe132 2017-12-21 17:53:57 +08:00 via Android ip。当然通过 ip 反查(如果有)也能获取到你访问的域名其他的都是加密的 |
3 find456789 OP @Shura 这么可怕 还可以看到我访问的域名啊 |
4 jasontse 2017-12-21 17:58:02 +08:00 via iPad SNI 会泄漏域名 |
![]() | 5 love4taylor PRO 目标 IP 和 域名, 怕是只能上 TLS 1.3 的 CDN 了 |
6 wsy2220 2017-12-21 18:27:14 +08:00 SNI 直接暴露域名 |
9 yingfengi 2017-12-21 19:16:56 +08:00 via Android 可以看到域名 |
10 oonnnoo 2017-12-21 19:30:35 +08:00 via Android 域名是可以看到的,要不然怎么路由。 在连接 https 后,是看不到请求头,请求内容,响应头以及响应内容 |
11 oonnnoo 2017-12-21 19:39:32 +08:00 via Android 个人观点是:免费 WiFi,有网就蹭,能被看到的信息,运营商也能看到,所经过网络设备都可以看到。 数据在离开自己可控的网络之前不做加密处理,都是一样在裸奔 |
13 morethansean 2017-12-21 20:28:47 +08:00 @heiyutian http 连内容都能看到啊,有什么不理解的吗…… |
![]() | 14 flynaj 2017-12-21 22:33:49 +08:00 via Android https 的证书可以看到,就知道你是访问那个域名,还有你要查询 DNS,也知道你访问什么站但是内容看不到 |
![]() | 15 fstab 2017-12-21 22:36:10 +08:00 via Android 蹭免费 wifi 挂一个 ss 加 obfs,自定义到 bilibili,就只能看到自定义的网址了,就是速度有点慢。 |
16 t123yh 2017-12-21 22:50:45 +08:00 via Android @Shura 请教 https 怎么降级攻击。我只知道在 http 重定向至 https 的过程中可以降级攻击,请问纯 https 怎么降级攻击? |
17 zingl 2017-12-21 23:02:32 +08:00 看看运营商的上网明细就知道他们(至少)能看到什么了 |
![]() | 18 Shura 2017-12-21 23:46:34 +08:00 via Android |
![]() | 19 xmcp 2017-12-22 12:45:20 +08:00 via iPhone CONNECT 的头应该有 Host 吧?那就能获得域名。 |