尽管加密,burp-suite 如何拦截 https 请求?
she*_*t97 3 ssl https ssl-certificate burp
当我遇到它的加密时,我试图让自己熟悉 https 的基本概念,简而言之,它的功能如下:
现在我看到我公司的QA工程师使用这个叫burp-suite的工具来拦截请求。
我感到困惑的是,即使数据流经加密通道,像 burp-suite 这样的拦截工具如何能够拦截请求。
只是为了尝试一下,我尝试在 burp-suite 中拦截facebook请求,
test@gmail.com在这里你可以清楚地看到我在拦截的请求中使用的测试电子邮件。
为什么这些数据没有按照 https 标准加密?
或者如果是的话那么 burp-suite 如何设法解密它?
谢谢。
Meta:这并不是一个真正的开发或编程问题,尽管 Burp 有时用于研究或调试。
Burp CA 证书- 由于 Burp 会破坏浏览器和服务器之间的 TLS 连接,因此如果您通过 Burp 代理访问 HTTPS 站点,浏览器将默认显示警告消息。这是因为浏览器无法识别 Burp 的 TLS 证书,并推断您的流量可能被第三方攻击者拦截。要通过 TLS 连接有效地使用 Burp,您确实需要在浏览器中安装 Burp 的证书颁发机构主证书,以便它信任 Burp 生成的证书。
默认情况下,当您通过 Burp 浏览 HTTPS 网站时,代理会为每个主机生成一个 TLS 证书,由其自己的证书颁发机构 (CA) 证书签名。...
使用自己生成的证书(以及匹配的密钥,尽管网页没有提及这一点,因为它对人们不可见)而不是来自真实站点的证书,允许 Burp “终止”来自客户端的 TLS 会话,解密检查数据,然后通过不同的 TLS 会话将该数据转发到真实站点,反之亦然(除非配置为执行不同的操作,例如修改数据)。
...此 CA 证书是在第一次运行 Burp 时生成的,并存储在本地。要在 HTTPS 网站上最有效地使用 Burp Proxy,您需要在浏览器中安装 Burp 的 CA 证书作为受信任的根。
接下来是有关风险的警告以及操作说明的链接。
在浏览器中拥有自己的受信任的 CA 证书意味着生成的证书被浏览器接受,并且对于浏览器用户(或其他客户端)来说,一切看起来都基本正常。
| 归档时间: |
|
| 查看次数: |
5903 次 |
| 最近记录: |