SSL的安全漏洞及解決方案

SSL的平安漏洞及解決方案·cool007假如你在互聯(lián)網(wǎng)上訪問(wèn)某些網(wǎng)站時(shí)在閱讀器窗口的下方有一個(gè)鎖的小圖標(biāo)，就表示它表示該網(wǎng)頁(yè)被SSL愛(ài)護(hù)著。但用SSL防護(hù)的網(wǎng)站真的能夠防范黑客嗎？現(xiàn)在國(guó)內(nèi)有許多人對(duì)SSL存在這么一個(gè)相識(shí)誤區(qū)：SSL很平安，受到SSL防護(hù)網(wǎng)頁(yè)服務(wù)器的資料就肯定是萬(wàn)無(wú)一失的，這也導(dǎo)致這樣一個(gè)局面，只要有著SSL防護(hù)的網(wǎng)站服務(wù)器很少接受審查以及監(jiān)測(cè)。其實(shí)不然，對(duì)于平安要求不甚高的交易或認(rèn)證，SSL還是一個(gè)相當(dāng)不錯(cuò)的平安機(jī)制，然而若應(yīng)用在特別要求方面，它還存在有這樣那樣的問(wèn)題。在下面的文中我將為大家簡(jiǎn)潔介紹SSL存在的平安漏洞及解決方案，希望本文對(duì)你有所幫助。

一、相識(shí)SSL

一般人認(rèn)為SSL是愛(ài)護(hù)主機(jī)或者只是一個(gè)應(yīng)用程序，這是一個(gè)誤會(huì)，SSL不是設(shè)計(jì)用來(lái)愛(ài)護(hù)操作系統(tǒng)的。SSL是SecureSocketsLayer通訊協(xié)議的簡(jiǎn)稱(chēng)，它是被設(shè)計(jì)用來(lái)愛(ài)護(hù)傳輸中的資料，它的任務(wù)是把在網(wǎng)頁(yè)以及服務(wù)器之間的數(shù)據(jù)傳輸加密起來(lái)。這個(gè)加密（encryption）的措施能夠防止資料竊取者干脆看到傳輸中的資料，像是密碼或者信用卡號(hào)碼等等。在這里談到SSL，你就必需了解數(shù)字證書(shū)（DigitalCertificates）的概念。

數(shù)字證書(shū)是一種能在完全開(kāi)放系統(tǒng)中精確標(biāo)識(shí)某些主體的機(jī)制。一個(gè)數(shù)字證書(shū)包含的信息必需能鑒定用戶身份，確保用戶就是其所持有證書(shū)中聲明的用戶。除了唯一的標(biāo)識(shí)信息外，數(shù)字證書(shū)還包含了證書(shū)全部者的公共密鑰。數(shù)字證書(shū)的運(yùn)用允許SSL供應(yīng)認(rèn)證功能－－保證用戶所懇求連接的服務(wù)器身份正確無(wú)誤。在信用卡號(hào)或PIN號(hào)碼等機(jī)密信息被發(fā)送出去前讓用戶準(zhǔn)確知道通訊的另一端的身份是毫無(wú)疑問(wèn)的重要的。很明顯的，SSL技術(shù)供應(yīng)了有效的認(rèn)證。然而大多數(shù)用戶并未能正確意識(shí)到通過(guò)SSL進(jìn)行平安連接的必需性。除非越來(lái)越多的用戶了解SSL和平安站點(diǎn)的基本學(xué)問(wèn)，否則SSL仍不足以成為愛(ài)護(hù)用戶網(wǎng)絡(luò)連接的必需技術(shù)。除非用戶能夠充分意識(shí)到訪問(wèn)站點(diǎn)時(shí)應(yīng)當(dāng)留意平安連接標(biāo)識(shí)，否則現(xiàn)有的平安技術(shù)仍不能稱(chēng)為真正有效。

目前幾乎全部處理具有敏感度的資料，財(cái)務(wù)資料或者要求身分認(rèn)證的網(wǎng)站都會(huì)運(yùn)用SSL加密技術(shù)（當(dāng)你看到s在你的網(wǎng)頁(yè)閱讀器上的URL出現(xiàn)時(shí)，你就是正在運(yùn)用具有SSL愛(ài)護(hù)的網(wǎng)頁(yè)服務(wù)器。）。在這里我把SSL比方成是一種在閱讀器跟網(wǎng)絡(luò)服務(wù)器之間“受密碼愛(ài)護(hù)的導(dǎo)管”（cryptographicpipe），也就是我們常說(shuō)的平安通道。這個(gè)平安通道把運(yùn)用者以及網(wǎng)站之間來(lái)回的資料加密起來(lái)。但是SSL并不會(huì)消退或者減弱網(wǎng)站所將受到的威逼性。在SSL這個(gè)平安通道的背后，一般沒(méi)有受到SSL防護(hù)的網(wǎng)站一樣具備了相同的網(wǎng)頁(yè)服務(wù)器程序，同樣的網(wǎng)頁(yè)應(yīng)用程序，CGI的script以及后端數(shù)據(jù)庫(kù)。目前普遍存在這么一個(gè)錯(cuò)誤的相識(shí)：許多系統(tǒng)管理者卻認(rèn)為，受到SSL防護(hù)的網(wǎng)頁(yè)服務(wù)器自動(dòng)就變得平安了。其實(shí)不然，事實(shí)上，受到SSL防護(hù)的網(wǎng)頁(yè)服務(wù)器同樣還是會(huì)受到與一般其它網(wǎng)站服務(wù)器遭遇攻擊的威逼，受到SSL防護(hù)的網(wǎng)頁(yè)服務(wù)器不肯定是萬(wàn)無(wú)一失的。二、SSL的平安漏洞

雖然一個(gè)網(wǎng)站可能運(yùn)用了SSL平安技術(shù)，但這并不是說(shuō)在該網(wǎng)站中正在輸入和以后輸入的數(shù)據(jù)也是平安的。全部人都應(yīng)當(dāng)意識(shí)到SSL供應(yīng)的僅僅是電子商務(wù)整體平安中的一小部份解決方案。SSL在網(wǎng)站上的運(yùn)用可能會(huì)造成管理員對(duì)其站點(diǎn)平安性的某些錯(cuò)覺(jué)。運(yùn)用了SSL的網(wǎng)站所可能受到的攻擊和其它服務(wù)器并無(wú)任何區(qū)分，同樣應(yīng)當(dāng)留意各方面的平安性。簡(jiǎn)言之，加密和數(shù)字證書(shū)，SSL的主要組成，從來(lái)都無(wú)法愛(ài)護(hù)服務(wù)器－－它們僅僅可以愛(ài)護(hù)該服務(wù)器所收發(fā)的數(shù)據(jù)。SSL常見(jiàn)平安問(wèn)題下面三種：

1、攻擊證書(shū)

類(lèi)似Verisign之類(lèi)的公共CA機(jī)構(gòu)并不總是牢靠的，系統(tǒng)管理員常常犯的錯(cuò)誤是過(guò)于信任Verisign等的公共CA機(jī)構(gòu)。例如，假如Verisign發(fā)放一個(gè)證書(shū)說(shuō)我是“某某某”，系統(tǒng)管理員很可能就會(huì)信任“我是某某某”。但是，對(duì)于用戶的證書(shū)，公共CA機(jī)構(gòu)可能不象對(duì)網(wǎng)站數(shù)字證書(shū)那樣重視和關(guān)切其精確性。例如，Verisign發(fā)放了一個(gè)“keyman"組織的證書(shū)，而我是其中一員“JACK”。當(dāng)一個(gè)網(wǎng)站要求認(rèn)證用戶身份時(shí)，我們提交了“JACK”的證書(shū)。你可能會(huì)對(duì)其返回的結(jié)果大吃一驚的。更為嚴(yán)峻的是，由于微軟公司的IIS服務(wù)器供應(yīng)了“客戶端證書(shū)映射”（ClientCertificateMapping）功能，用于將客戶端提交證書(shū)中的名字映射到NT系統(tǒng)的用戶帳號(hào)，在這種狀況下我們就能夠獲得該主機(jī)的系統(tǒng)管理員特權(quán)！

假如黑客不能利用上面的非法的證書(shū)突破服務(wù)器，他們可以嘗試暴力攻擊（brute-forceattack）。雖然暴力攻擊證書(shū)比暴力攻擊口令更為困難，但仍舊是一種攻擊方法。要暴力攻擊客戶端認(rèn)證，黑客編輯一個(gè)可能的用戶名字列表，然后為每一個(gè)名字向CA機(jī)構(gòu)申請(qǐng)證書(shū)。每一個(gè)證書(shū)都用于嘗試獲得訪問(wèn)權(quán)限。用戶名的選擇越好，其中一個(gè)證書(shū)被認(rèn)可的可能性就越高。暴力攻擊證書(shū)的便利之處在于它僅須要揣測(cè)一個(gè)有效的用戶名，而不是揣測(cè)用戶名和口令。

2、竊取證書(shū)

除上面的方法外，黑客還可能竊取有效的證書(shū)及相應(yīng)的私有密鑰。最簡(jiǎn)潔的方法是利用特洛伊木馬。這種攻擊幾乎可使客戶端證書(shū)形同虛設(shè)。它攻擊的是證書(shū)的一個(gè)根本性弱點(diǎn)：私有密鑰－－整個(gè)平安系統(tǒng)的核心－－常常保存在擔(dān)心全的地方。應(yīng)付這些攻擊的唯一有效方法或許是將證書(shū)保存到智能卡或令牌之類(lèi)的設(shè)備中。

3、平安盲點(diǎn)

系統(tǒng)管理員沒(méi)方法運(yùn)用現(xiàn)有的平安漏洞掃描（vulnerabilityscanners）或網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)（intrusiondetectionsystems，IDS），來(lái)審查或監(jiān)控網(wǎng)絡(luò)上的SSL交易。網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)是通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)傳輸來(lái)找尋沒(méi)有經(jīng)過(guò)認(rèn)證的活動(dòng)。任何符合已知的攻擊模式或者并未經(jīng)過(guò)政策上授權(quán)的網(wǎng)絡(luò)活動(dòng)都被標(biāo)起來(lái)以供系統(tǒng)管理者檢視。而要讓IDS能夠發(fā)生作用，IDS必需能夠檢視全部的網(wǎng)絡(luò)流量信息，但是SSL的加密技術(shù)卻使得通過(guò)傳輸?shù)男畔o(wú)法讓IDS分辨。再者，雖然我們可以用最新的平安掃描軟件審查一般的網(wǎng)頁(yè)服務(wù)器來(lái)找尋已知的平安盲點(diǎn)，這種掃描軟件并不會(huì)檢查經(jīng)過(guò)SSL愛(ài)護(hù)的服務(wù)器。受到SSL愛(ài)護(hù)的網(wǎng)頁(yè)服務(wù)器的確擁有與一般服務(wù)器同樣的平安盲點(diǎn)，可是或許是因?yàn)榻SL連結(jié)所須要的時(shí)間以及困難度，平安漏洞掃描軟件并不會(huì)審查受到SSL愛(ài)護(hù)的網(wǎng)頁(yè)服務(wù)器。沒(méi)有網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)再加上沒(méi)有平安漏洞審查，使得最重要的服務(wù)器反而成為受到最少防護(hù)的服務(wù)器。三、解決方法

至于如何愛(ài)護(hù)證書(shū)的平安，你可以采納IDS（IntrusionDetectionSystem），它是一種用于監(jiān)測(cè)攻擊服務(wù)器企圖的技術(shù)和方法。典型的IDS監(jiān)視網(wǎng)絡(luò)通訊，并將其與保存在數(shù)據(jù)庫(kù)中的已知攻擊“特征”或方法比較。假如發(fā)覺(jué)攻擊，IDS可以提示系統(tǒng)管理員、截?cái)噙B接或甚至實(shí)施反攻擊等。問(wèn)題在于假如網(wǎng)絡(luò)通訊是加密的，IDS將無(wú)法監(jiān)視。這反而可能會(huì)使攻擊更為輕松。假設(shè)在一個(gè)典型的被防火墻和IDS防護(hù)的DMZ環(huán)境中，黑客能輕松地探測(cè)被SSL愛(ài)護(hù)的網(wǎng)站，因?yàn)镾SL對(duì)數(shù)據(jù)的加密使得IDS無(wú)法正常監(jiān)測(cè)攻擊。通常一臺(tái)單一的網(wǎng)站服務(wù)器會(huì)同時(shí)運(yùn)用SSL和一般的TCP協(xié)議。由于黑客攻擊的服務(wù)器而不是網(wǎng)絡(luò)連接，他們可以選擇隨意一種途徑。通過(guò)SSL途徑，黑客知道SSL加密為他們帶來(lái)的好處，這樣更簡(jiǎn)潔避開(kāi)IDS系統(tǒng)的監(jiān)測(cè)。在這里我主要介紹的是如何解決系統(tǒng)管理員沒(méi)方法運(yùn)用現(xiàn)有的平安漏洞掃描或網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)而存在的網(wǎng)頁(yè)服務(wù)器平安盲點(diǎn)的狀況，目前解決這個(gè)困擾的常用方法大致有以下三種：

1、通過(guò)Proxy代理服務(wù)器的SSL

我們可以在一個(gè)SSLProxy代理程序上運(yùn)用這項(xiàng)資料審查技術(shù)。SSLProxy是一個(gè)在連接埠80上接收純文字的通訊懇求的軟件，它會(huì)將這些懇求通過(guò)經(jīng)由SSL加密過(guò)的連結(jié)，轉(zhuǎn)寄到目標(biāo)網(wǎng)站。我們?cè)谶B接埠80開(kāi)一個(gè)聽(tīng)取的socket，通過(guò)上述的OpenSSL指令，將全部進(jìn)入這個(gè)proxy的數(shù)據(jù)傳送出去。這在Unix上，只是個(gè)小技巧：你只須將以下的指令加到你們的/etc/inetd.conf檔案里面，這個(gè)inetd.conf包含全部inetd所供應(yīng)的網(wǎng)絡(luò)服務(wù)的設(shè)定：

wwwstreamtcpnowaitroot/usr/sbin/tcpd/usr/local/bin/ssl_proxy.sh

而/usr/local/bin/ssl_proxy.sh的內(nèi)容則如下所述：

#!/bin/sh

/usr/local/ssl/bin/openssls_client-no_tls1-quiet-connect0:4432>/dev/null

0是SSL防護(hù)下的網(wǎng)站的地址所在。其中“-no_tls1”以及“-quiet”選項(xiàng)將SSL交談（handshake）的標(biāo)題顯示關(guān)掉，并且也刪除了SSL對(duì)于尚未經(jīng)過(guò)授權(quán)的網(wǎng)站認(rèn)證所發(fā)出的警告。

假如你要想測(cè)試你的proxy連結(jié)，那么你只要以純文字的方式，在執(zhí)行SSLproxy的系統(tǒng)的連接端口80建立聯(lián)機(jī)。這個(gè)proxy會(huì)運(yùn)用SSL來(lái)轉(zhuǎn)寄接收的懇求到目標(biāo)網(wǎng)站。

$telnet80GET//1.0

在這里，服務(wù)器正在的地址執(zhí)行SSLproxy機(jī)制，而真正受到SSL愛(ài)護(hù)的地址則是在0。通過(guò)這個(gè)SSLproxy機(jī)制，我們只要將平安掃描軟件指向proxy的IP地址，就可以運(yùn)用它來(lái)審查一個(gè)SSL服務(wù)器。

&iface=2）來(lái)審查SSL防護(hù)的網(wǎng)站服務(wù)器。Whisker是一個(gè)由RainForestPuppy寫(xiě)出來(lái)的script，可以用來(lái)檢查已知的比較簡(jiǎn)潔受到入侵的網(wǎng)站應(yīng)用程序以及CGIscript。

--whisker/v1.3.0a/rainforestpuppy/ADM/wiretrip--

-Loadedscriptdatabaseof1691lines

=-=-=-=-=-=

=Server:Microsoft-IIS/4.0

+404ObjectNotFound:GET/cfdocs/

+404ObjectNotFound:GET/cfide/Administrator/startstop.html

+404ObjectNotFound:GET/cfappman/index.cfm

+404ObjectNotFound:GET/cgi-bin/

+403AccessForbidden:HEAD/scripts/

+403AccessForbidden:HEAD/scripts/cpshost.dll

+404ObjectNotFound:HEAD/samples/search/queryhit.htm

+404ObjectNotFound:HEAD/adsamples/config/site.csc

+403AccessForbidden:HEAD/scripts/counter.exe

+403AccessForbidden:HEAD/scripts/samples/

以上狀況是在上執(zhí)行whisker，然后whisker運(yùn)用SSL將全部的懇求轉(zhuǎn)寄到0。

SSLproxy的觀念已經(jīng)存在一陣子了。目前有一個(gè)名為sslproxy.c的程序可以執(zhí)行以上的功能（://obdev.at/Products/sslproxy.html）。另外還有一個(gè)最近才出來(lái)，執(zhí)行SSLproxy還有它額外功能的工具程序，叫做stunnel（:///），是由BrianHatch開(kāi)發(fā)的。然而，因?yàn)檫\(yùn)用吩咐列模式操作OpenSSL軟件相對(duì)來(lái)說(shuō)比較簡(jiǎn)潔的，所以我將在下面介紹這種方式。

2、OpenSSL

OpenSSL（相關(guān)資料:///）包含了一套程序以及函式庫(kù)，供應(yīng)前端運(yùn)用者SSL功能，并且允許軟件工程師將SSL模塊與他們的程序結(jié)合。在眾多由SSL供應(yīng)的產(chǎn)品里面，最能夠用來(lái)讓我們?cè)谶@里探討的是吩咐列模式的（command-line）SSL客戶端以及伺服端工具軟件。OpenSSL程序是一個(gè)指令列接口的程序，它是用來(lái)以手動(dòng)的方式起始SSL連結(jié)。OpenSSL讓你重新導(dǎo)引與其它程序之間的資料輸入以及輸出。

運(yùn)用普遍可得的平安掃描軟件來(lái)審查SSL服務(wù)器在探討技術(shù)文件時(shí)，我們?cè)贏pache供應(yīng)應(yīng)OpenSSL的接口模塊mod_ssl(相關(guān)資料:///)讀到了一些好玩的信息。其中有一段常見(jiàn)問(wèn)題探討到有關(guān)測(cè)試在SSL愛(ài)護(hù)下的網(wǎng)站服務(wù)器。你可以利用Telnet連到網(wǎng)頁(yè)服務(wù)器第80號(hào)連接埠，然后下達(dá)如下的get指令，從網(wǎng)頁(yè)服務(wù)器取得網(wǎng)頁(yè)：

因?yàn)镾SL通聯(lián)必須要經(jīng)過(guò)一個(gè)平安的連接埠，而在這里我們運(yùn)用的是沒(méi)有平安防護(hù)的連接埠80，因此，這個(gè)技巧在S通訊協(xié)議上是行不通的。然而，假如我們用的是OpenSSL程序，我們就可以在SSL連接上做同樣的一件事情。

下面是OpenSSL連結(jié)的細(xì)微環(huán)節(jié)

openssl：s_client-connectramsec:443

CONNECTED(00000003)

depth=0/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

verifyerror:num=20:unabletogetlocalissuercertificate

verifyreturn:1

depth=0/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

LLC/OU=Web/OU=Termsofuseat

verifyerror:num=27:certificatenottrusted

verifyreturn:1

depth=0/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

verifyerror:num=27:certificatenottrusted

verifyreturn:1

depth=0/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

LLC/OU=Web/OU=Termsofuseat

verifyerror:num=21:unabletoverifythefirstcertificate

verifyreturn:1

---

Certificatechain

0s:/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

LLC/OU=Web/OU=Termsofuseat

i:/C=US/O=RSADataSecurity,Inc./OU=SecureServerCertification

Authority

---Servercertificate

-----BEGINCERTIFICATE-----

MIIClTCCAgICEGJTOhcnU+VNQDZ7fqS1K8UwDQYJKoZIhvcNAQEEBQAwXzELMAkG

A1UEBhMCVVMxIDAeBgNVBAoTF1JTQSBEYXRhIFNlY3VyaXR5LCBJbmMuMS4wLAYD

VQQLEyVTZWN1cmUgU2VydmVyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTAw

MDEyNDAwMDAwMFoXDTAxMDEyMzIzNTk1OVowgbsxCzAJBgNVBAYTAlVTMRMwEQYD

VQQIEwpXYXNoaW5ndG9uMRMwEQYDVQQHFApOZXcgQ2FzdGxlMSMwIQYDVQQKFBpS

YW1wYXJ0IFNlY3VyaXR5IEdyb3VwIExMQzEMMAoGA1UECxQDV2ViMTMwMQYDVQQL

FCpUZXJtcyBvZiB1c2UgYXQgd3d3LnZlcmlzaWduLmNvbS9SUEEgKGMpOTkxGjAY

BgNVBAMUEXNlY3VyZS5yYW1zZWMuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB

iQKBgQD+0K9xpPTh79iWWXc5JmTeJrg5YNdmwP5EwfKSPqOk2E8QSRNk8+Huv7h7

h636cDbmIh+J+VuRO5x5YP8apUCcqRfIMmQevTFzaIyCf3Mwm/OKNTs+4tqA5kjT

SedbBUGaaY2A1VcK0uby1djc+oX8XoCMoRWy+VGBkBrLK51t2QIDAQABMA0GCSqG

SIb3DQEBBAUAA34AhT7v59KwTvldIHJV7U4Doca+/wQ6ivbyd35K9hC/wxwE/jnO

oBXFKaJvV6mHk9hVz37CtLauUGYIZb3x7Cw6GajhhPicLi0l6ndH4VF9C4tbUb4t

2yw/6Jy9i+TfsO/Ldcu4KV0688vfORWm663+6miLYHKGNqFMaR3QaXc=

-----ENDCERTIFICATE-----

subject=/C=US/ST=Washington/L=NewCastle/O=RampartSecurityGroup

issuer=/C=US/O=RSADataSecurity,Inc./OU=SecureServer

Certification

Authority

---

NoclientcertificateCAnamessent

---

SSLhandshakehasread801bytesandwritten312bytes

---

New,TLSv1/SSLv3,CipherisRC4-MD5Serverpublickeyis1024bit

SSL-Session:

Protocol:TLSv1

Cipher:RC4-MD5

Session-ID:

020000001E9F693D9F9D5FF87E6DF24A0BAFC85391992415991DF3AB74522BCB

Session-ID-ctx:

Master-Key:

08FD7A5E6D058A45D0855AD359C0428F3BB5A685E6D74DFB9CDAB6D6A2ED7D53

E97147155DC7B9C61B946BE6

Key-Arg:None

StartTime:963184785

Timeout:300(sec)

Verifyreturncode:0(ok)

---

GET//1.0

/1.1200OK

Server:Microsoft-IIS/4.0

Date:Mon,10Jul200011:41:25GMT

Content-Type:text/html

Accept-Ranges:bytes

Last-Modified:Thu,23Mar200001:41:15GMT

ETag:"305fc7e06894bf1:38441"

Content-Length:886

通過(guò)上面OpenSSL這項(xiàng)技術(shù)，我們就可以干脆傳送資料到有SSL愛(ài)護(hù)的網(wǎng)站，然后用我們一般審查任何服務(wù)器平安性的方式來(lái)審查這個(gè)SSL網(wǎng)頁(yè)服務(wù)器。

3、監(jiān)測(cè)SSL服務(wù)器

現(xiàn)在的網(wǎng)絡(luò)IDS只能夠監(jiān)視純文字資料內(nèi)容，所以我們只能夠有兩項(xiàng)選擇：監(jiān)視服務(wù)器上的SSL連結(jié)或者將整個(gè)連結(jié)資料轉(zhuǎn)為純文字格式。大部分的網(wǎng)頁(yè)服務(wù)器都有一些基本的日志紀(jì)錄功能。例如：Microsoft的IISWebserver有內(nèi)建的日志制作功能，運(yùn)用的是W3svc1格式，它可以偵測(cè)到許多一般的網(wǎng)絡(luò)攻擊狀況。我通過(guò)前述的SSLproxy針對(duì)Wi