随着互联网技术的飞速发展,人们的工作和生活已经渐渐的离不开网络,电子商务活动也随之日益增多,如何保护电子商务以及其他敏感数据在网络上的安全传输问题已经成为了目前非常重要的课题。HTTPS协议正是在这个环境下被推出,一经推出用户便以几何级数增长。但是HTTPS协议本身也不可避免的存在着一些缺陷,随着使用的越来越广泛,针对该协议的攻击手段也随之层出不穷,这些攻击严重威胁着电子商务的发展。其中中间人攻击就是最为典型的一种攻击类型,如何防范中间人攻击同时也成为了当前最为紧迫的课题。本文对HTTPS协议以及SSL协议及其握手层和记录层的安全性进行了深入的分析,并指出了其安全缺陷。然后从密码破译和中间人攻击的角度分别介绍了针对HTTPS协议的攻击手段,并重点分析了三种针对HTTPS协议的中间人攻击：SSLsniff, SSL renegotiation、SSLstrip。鉴于SSLstrip攻击是针对用户使用习惯的一种攻击方式,其应用较为广泛,因此我们重点对SSLstrip攻击分别在Linux操作系统和windows操作系统下进行了具体实现。对系统的测试表明：该系统能成功截获几乎所有大型的邮箱门户网站的登陆帐号和密码,攻击成功率极高。本文另一个重点是针对目前SSLstrip攻击防御的学术研究较少,因此我们对SSLstrip攻击提出了一种具体保护措施,并初步做成了一个基于浏览器历史的安全工具HistoryProxyo我们针对HistoryProxy的评估表明：它能够在可接受的系统开销下,保护用户免受SSLstrip攻击,而且不需要服务器端或者第三方认证的支持。