绕过HTTPS的安全验证

quxianyang

我想通过构造POST报文的方式登陆一个HTTPS服务器，提交了请求后会因为得不到响应而超时。
后来发现是因为，没有绕过安全验证，就像在windows下面使用浏览器登陆一个https地址时会弹出一个对话框，
必须点了Yes才能获得响应。

在Linux下，用C语言怎么能绕过这个安全验证呢？


不好意思。我发现我的POST内容有问题，再用Base64编码用户名时漏了一个字母……所以没有响应。
麻烦各位了，真对不起

[ 本帖最后由 quxianyang 于 2009-3-7 16:30 编辑 ]

snick

用openssl的库写一个SSL链接时自动信任证书的代码就可以了，但是可能会有安全方面的风险。

quxianyang

能不能说得详细点，最好能给出示例。
我刚接触OpenSSL不久，还不怎么会玩。
谢谢

langue

汗，你怎么连的？直接 connect() 到 port 443 就 POST，还是不会检查 SSL_connect() 的返回值？

quxianyang

我是用普通的socket中的connect，然后再用SSL_set_fd(ssl, sockfd)把ssl和socket绑定在一块的。
我这里好像本来就没有对证书进行验证

quxianyang

又看了一遍代码。
我调用SSL_set_fd(ssl, sockfd)把ssl和socket绑定在一块以后，又调用了SSL_connect(ssl)，
并且判断了返回结果是不是小于0。

我这里执行时这里是能够正常通过的。
但是发送POST请求后，就是收不到响应

benjiam

我用的是BIO 做的 一模一样的事情


嘿嘿 服务器在远端的话，  会有一个问题， send 没有发全。 要多次send. ssl 不比socket 啊

langue

用 openssl s_client 试试看，注意打开调试选项。

snick

openssl那套api可以设置callback函数处理证书相关的内容，在那个callback函数里面返回信任的信息就可以了。

quxianyang

我是调用SSL_write写的HTTP请求。你的意思是要多次调用SSL_write？
能不能把你的代码给我看看？
谢谢