golang https server如何设计方便抓包定位且安全

OrangeLBlue2023-12-15 12:01

文章目录

    • 代码
    • 测试

用go写后端https服务时,需要定位https包中的内容是否符合预期。

有涉猎的朋友应该了解过https有一种keylog技术,它允许在HTTPS连接中捕获和记录SSL或TLS会话密钥,以便于调试和分析加密流量。

本文将的就是通过可控制开启和关闭的keylog功能,提供安全便捷的调试方法。

代码

服务端代码如下

package main

go 复制代码 
 import (
     "crypto/tls"
     "github.com/gin-gonic/gin"
     "hbp_common/Base"
     "io"
     "log"
     "net/http"
     "os"
     "path/filepath"
 )
 ​
 var tlsConfig *tls.Config
 var keylogpath string
 ​
 const (
     ApiCertPath = "/root/testssl/cert.pem"
     ApikeyPath  = "/root/testssl/key.pem"
 )
 ​
 func main() {
     route := gin.Default()
 ​
     route.GET("/hello", func(c *gin.Context) {
         c.JSON(http.StatusOK, gin.H{"result": "word"})
     })
 ​
     ListenAndSeverTls(route)
 }
 ​
 func SetEnableKeyLog(ctx *gin.Context) {
     enable := ctx.Param("enable")
     if enable == "enable" {
         var err error
         tlsConfig.KeyLogWriter, err = KeyLogWrite(keylogpath)
         if err != nil {
             ctx.AbortWithStatus(http.StatusForbidden)
             return
         }
     } else if enable == "disable" {
         tlsConfig.KeyLogWriter = nil
         err := os.RemoveAll(keylogpath)
         if err != nil {
             ctx.AbortWithStatus(http.StatusForbidden)
             return
         }
     } else {
         ctx.AbortWithStatus(http.StatusBadRequest)
         return
     }
     ctx.Status(http.StatusOK)
 }
 ​
 func KeyLogWrite(path string) (io.Writer, error) {
     keyLogFile, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_APPEND, 0666)
     if err != nil {
         log.Fatal(err.Error())
     }
     return keyLogFile, err
 }
 ​
 func ListenAndSeverTls(route *gin.Engine) {
     defer Base.SafePanic()
     keylogpath = filepath.Dir(ApiCertPath) + "/keylog"
 ​
     // 加载证书和密钥
     cert, err := tls.LoadX509KeyPair(ApiCertPath, ApikeyPath)
     if err != nil {
         log.Panic("ListenAndSeverTls failed! LoadX509KeyPair err:[%s]", err)
     }
 ​
     // 配置TLS
     tlsConfig = &tls.Config{KeyLogWriter: nil}
     tlsConfig.Certificates = []tls.Certificate{cert}
 ​
     listener, err := tls.Listen("tcp", ":24443", tlsConfig)
     if err != nil {
         log.Panic("ListenAndSeverTls failed! ListenTLS err:[%s]", err)
     }
     server := http.Server{Handler: route, Addr: ":24443", TLSConfig: tlsConfig}
 ​
     //注册keylog记录使能接口
     //PUT https://localhost:8443/debug/keylog/enable 使能tls keylog
     //PUT https://localhost:8443/debug/keylog/disable 失能tls keylog
     route.PUT("/debug/keylog/:enable", SetEnableKeyLog)
 ​
     err = server.Serve(listener)
     if err != nil {
         log.Panic("ListenAndSeverTls failed! Serve err:[%s]", err)
     }
 }

通过 //PUT https://localhost:8443/debug/keylog/enable 使能tls keylog //PUT https://localhost:8443/debug/keylog/disable 失能tls keylog

可以开启和关闭该功能,可以做到不使用使防止keylog泄露。在开启和关闭操作时可以再加上鉴权校验等操作使方法更安全。

测试

可以看到,前面收到了客户端的hello,但是我没有使能,所以没有keylog生成。

开启后便有了keylog

我在此抓了包

目前是加密的

通过ctrl+shift+p打开首选项窗口

找到Protocols中的TLS,将刚才生成的keylog路径设置到图中位置

点击ok,就可以看到https明文了


disable后会删除keylog文件,确保keylog的安全

相关推荐
KKKlucifer35 分钟前
基于行为语义分析的 API 异常流量自适应检测技术
网络·安全·web安全
pengyi87101544 分钟前
安全性深度对比,HTTP与HTTPS代理风险差异分析
网络协议·http·https
wanhengidc1 小时前
算力服务器的应用场景
运维·服务器·人工智能·安全·web安全·智能手机
空中海1 小时前
05 鸿蒙APP 测试、性能、安全、发布与生产实践
安全·华为·harmonyos
飞飞传输1 小时前
内外网文件交换系统产品推荐:高密网低密网摆渡更安全高效
大数据·运维·安全
TENSORTEC腾视科技1 小时前
让安全驾驶有“AI”相伴|腾视科技DMS视频监控一体机,守护每一次出行
大数据·人工智能·科技·安全·ai·零售·无人叉车及智能调度系统解决方案
亚远景aspice1 小时前
亚远景-AI系统的V模型开发:基于ISO/PAS 8800的安全需求导出、架构措施与验证确认
网络·安全·汽车
liann1191 小时前
Agent 内存马禁止 Attach JVM
java·jvm·安全·网络安全·系统安全·网络攻击模型·信息与通信
陈天伟教授1 小时前
图解人工智能(2)最智能
人工智能·安全·架构
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03零基础教你claude code 接入 deepseek V404要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法05CC-Switch & Claude 基于 Linux 服务器安装使用指南06【AI】2026 年具身智能模型和世界模型总结07Dirtyfrag漏洞:我花了一下午搞清楚这个Linux内核提权漏洞到底在搞什么08Windows端Codex接入第三方模型(DeekSeek,BaiLian)092026年Codex如何解决手机号码登陆验证的问题?10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法