因此我们最终选择基于TLS1.3草案标准,设计实现我们自己的安全通信协议mmtls。 三、mmtls协议设计 3.1 总体架构 ? ...业务层数据加上mmtls之后,由mmtls提供安全性,保护业务数据,这类似于http加上tls后,变成https,由tls保护http数据。...图1描述的是把mmtls看成一个整体,它所处的位置。进入mmtls内部,它包含三个子协议:Record协议、Handshake协议、Alert协议。这其实是和TLS类似的。...mmtls最终使用的密钥是有HKDF-Expand扩展出来的。mmtls把info参数分为:length,label,handshake_hash。...mmtls根据微信特有的后台架构,提出了基于客户端和服务器端时间序列的防重放策略,mmtls能够保证超过一段时间T的重放包被服务器直接解决,而在短时间T内的重放包需要业务框架层来协调支持防重放,这样通过
因此我们最终选择基于 TLS1.3 草案标准,设计实现我们自己的安全通信协议 mmtls。...三、mmtls 协议设计 3.1 总体架构 [1500448368556_104_1500448369277.jpg] 业务层数据加上 mmtls 之后,由 mmtls 提供安全性,保护业务数据...图 1 描述的是把 mmtls 看成一个整体,它所处的位置。进入 mmtls 内部,它包含三个子协议:Record 协议、Handshake 协议、Alert 协议。这其实是和 TLS 类似的。...在这里说明一下,为什么 mmtls 以及 TLS 协议需要一个 Handshake 子协议和 Record 子协议?...由于 mmtls 不需要对 Client 做认证,在这块内容上比 TLS 简洁许多,更加轻量级。
TLS1.3 使用的 HKDF 做密钥扩展,mmtls 也是选用的 HKDF 做密钥扩展。...mmtls 最终使用的密钥是有 HKDF-Expand 扩展出来的。mmtls 把 info 参数分为:length,label,handshake_hash。...而 mmtls 没有 TLS1.3 这种包袱,可以针对微信自己的网络通信特点进行优化(前面在握手方式选择上就有体现)。...mmtls 在不降低安全性的前提下,对 TLS1.3 的密钥扩展做了精简,使得性能上较 TLS1.3 的密钥扩展方式有明显提升。...mmtls 根据微信特有的后台架构,提出了基于客户端和服务器端时间序列的防重放策略,mmtls 能够保证超过一段时间 T 的重放包被服务器直接解决,而在短时间 T 内的重放包需要业务框架层来协调支持防重放
高能预警 ①所有平台版本微信无一幸免均存在MMTLS绕过(重放攻击 so easy) ②均存在低版本使用高版本功能从而绕过一些限制 ③跨版本功能操作 eg:PC微信,MAC微信,均可以实现抢红包附近人等其他操作...大跨度版本更新没有及时封锁低端版本 ②是否做了全局的版本更新校验 ③路由器或中间件是否过滤不严格 ④上述①②③会导致那些安全隐患 ⑤如何防范改进 本文将从正向学习和逆向分析来了解如何MMTLS绕过以及各个功能嫁接...微信高并发资金交易系统设计方案——百亿红包背后的技术支撑; 微信红包后台系统可用性设计实践; 微信技术专栏丨八篇来自微信技术团队的深度干货; 基于TLS1.3的微信安全通信协议mmtls介绍。...通过上述结论我们可以有一下相关设想: 1.IPAD微信能否构造出非MMTLS登陆; 2.PC低版本能否使用IPAD的功能 如抢红包 发朋友圈等 (思路参照 如何愉快地在Mac上刷朋友圈)。...经过构造绕过MMTLS登陆依旧使用原有数据包登陆,对数据包重放没有任何限制,同时也违背了MMTLS。
这个网站的话,那么你的账号以及密码已经被我知道了… 不仅仅是HTTPS 当然有些公司 为了更加保护用户隐私不被第三方抓取,会使用自有通信协议… 如微信的:基于TLS1.3的微信安全通信协议mmtls
2、高安全性:全链路票据系统保障整条链路系统安全,使用mmtls提供通信安全性,做到了防窃听,防篡改,防重放,防伪造,为项目顺利进展保驾护航。
[9gyhli1u1i.jpeg] 2、高安全性:全链路票据系统保障整条链路系统安全,使用mmtls提供通信安全性,做到了防窃听,防篡改,防重放,防伪造,为项目顺利进展保驾护航。
前言 微信的通信协议没有使用传统的https,而是采用 mmtls 和 quic 协议结合的方案(可能),导致常用的抓包方案完全无效。...参考资料 基于Frida的全平台逆向分析 APP逆向神器之Frida 基于TLS1.3的微信安全通信协议mmtls介绍
5.2SSL 层优化尽量升级到 TLS1.3(微信的TLS1.3实践:《微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解》),利用 Pre-shared Key 机制,开启 ssl_early_data...[19] 微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解[20] IM通讯协议专题学习(一):Protobuf从入门到精通,一篇就够!
如约而至:微信自用的移动端IM网络层跨平台组件库Mars已正式开源》 《开源libco库:单机千万连接、支撑微信8亿用户的后台框架基石 [源码下载]》 《微信新一代通信安全解决方案:基于TLS1.3的MMTLS
如下图所示,首先是用户请求从微信客户端到微信后台服务这部分,云开发请求借助了微信底层的私有协议 mmtls 和微信后台服务进行通信,当业务层数据加上 mmtls 后,即可做到防窃听、防篡改、防重放、防伪装等安全措施
term=255&pictype=0 HTTP/1.1 Host: 112.80.128.33 POST /mmtls/74ce36ed HTTP/1.1...Host: extshort.weixin.qq.com POST /mmtls/74ce36ed HTTP/1.1 Host: extshort.weixin.qq.com
6、通信连接层的会话加密对于连接层面(链路层面)面的加密,应最先考虑的是基于 SSL/TLS 协议进行链路加密(比如微信的作法:《微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解》),这是现代网络通信安全的基石...[6] 对称加密技术在Android平台上的应用实践[7] 非对称加密技术的原理与应用实践[8] 常用加解密算法与通讯安全讲解[9]微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解[10]
爬虫这五年,老A带过十来人的团队,也凭着一己之力破解了mmtls协议,成功撸到了微信视频号的数据,继而获得了合伙人的职位,50万年薪+100万股权的薪资。
从通信安全的角度来说,Socket长连接的安全性,就是基于SSL/TLS加密的TCP协议来实现的(比如微信的mmtls,见《微信新一代通信安全解决方案:基于TLS1.3的MMTLS详解》);而对于HTTP
常用加解密算法与通讯安全讲解》 《即时通讯安全篇(六):非对称加密技术的原理与应用实践》 《传输层安全协议SSL/TLS的Java平台实现简介和Demo演示》 《微信新一代通信安全解决方案:基于TLS1.3的MMTLS...只是在建连速度上会有所损耗,有一些大型 APP 像微信就自行实现了 TLS1.3 的部分协议,早一步全平台支持(微信团队专门分享过关于TLS1.3的实践文章,详见《微信新一代通信安全解决方案:基于TLS1.3的MMTLS
非对称加密技术的原理与应用实践》 《传输层安全协议SSL/TLS的Java平台实现简介和Demo演示》 《理论联系实际:一套典型的IM通信协议设计详解(含安全层设计)》 《微信新一代通信安全解决方案:基于TLS1.3的MMTLS
IM中的应用》 《传输层安全协议SSL/TLS的Java平台实现简介和Demo演示》 《理论联系实际:一套典型的IM通信协议设计详解(含安全层设计)》 《微信新一代通信安全解决方案:基于TLS1.3的MMTLS...非对称加密技术的原理与应用实践》 《传输层安全协议SSL/TLS的Java平台实现简介和Demo演示》 《理论联系实际:一套典型的IM通信协议设计详解(含安全层设计)》 《微信新一代通信安全解决方案:基于TLS1.3的MMTLS
领取专属 10元无门槛券
手把手带您无忧上云