SSLStrip原理

SSLStrip是一种针对HTTPS体系实现的攻击方式。
·基于多数浏览器不会主动请求SSL协议来保护自己与服务器之间的通信，从而不会在浏览器中输入https访问域名。
·由于http跳转https是通过服务端的302重定向实现的，SSLStrip在客户端接收到跳转信息之前，通过明文HTTP协议去除掉HTTPS跳转的过渡。

具体实现：
1、攻击者通过ARP欺骗监听客户端
2、客户端向服务器发送http请求，中间人如实转发请求
3、服务器回复https链接给中间人，中间人将链接篡改为http回复给客户端
4、客户端再次发送http给服务器，中间人将其改为https发送给服务端
5、至此，客户端与攻击者建立起http明文连接