尽管加密,burp-suite 如何拦截 https 请求?
[英]How does burp-suite intercept https requeest inspite of the encryption?
问题描述
当我遇到它的加密时,我试图让自己熟悉 https 的基本概念,简而言之,它的功能如下,
现在我看到我公司的 QA 工程师使用这个叫做 burp-suite 的工具来拦截请求。
我感到困惑的是,即使数据流经加密通道,任何拦截工具(如 burp-suite)如何设法拦截请求。
只是为了尝试一下,我试图在 burp-suite 中拦截facebook请求,
这里可以清楚的看到我截取的请求中使用的测试email test@gmail.com 。
为什么这些数据没有按照 https 标准加密?
或者如果是,那么burp-suite如何设法解密它?
谢谢你。
1 个解决方案
解决方案1
1 已采纳 2020-05-10 22:16:35
Meta:这不是真正的开发或编程问题或问题,尽管 Burp 有时用于研究或调试。
Burp CA 证书- 由于 Burp 会中断浏览器和服务器之间的 TLS 连接,如果您通过 Burp 代理访问 HTTPS 站点,您的浏览器默认会显示警告消息。 这是因为浏览器无法识别 Burp 的 TLS 证书,并推断您的流量可能被第三方攻击者拦截。 要通过 TLS 连接有效地使用 Burp,您确实需要在浏览器中安装 Burp 的证书颁发机构主证书,以便它信任 Burp 生成的证书。
默认情况下,当您通过 Burp 浏览 HTTPS 网站时,代理会为每个主机生成一个 TLS 证书,由其自己的证书颁发机构 (CA) 证书签名。 ...
使用它自己生成的证书(和匹配的密钥,尽管网页没有谈论它,因为它对人们不可见)而不是来自真实站点的证书允许 Burp 从客户端“终止”TLS session,解密并检查数据,然后通过不同的 TLS session 将该数据转发到真实站点,反之亦然(除非配置为执行不同的操作,例如修改数据)。
...此 CA 证书在 Burp 首次运行时生成,并存储在本地。 要在 HTTPS 网站上最有效地使用 Burp 代理,您需要在浏览器中安装 Burp 的 CA 证书作为受信任的根。
随后是有关风险的警告,以及相关说明的链接。
在浏览器中信任自己的 CA 证书意味着生成的证书被浏览器接受,并且对于浏览器用户(或其他客户端)来说,一切看起来都很正常。
与Burp Suite代理结合Wireshark嗅探https / SSL流量
[英]Sniffing https/SSL traffic with Burp Suite Proxy in combination with Wireshark
Burp Suite-Pixel 2 XL(Android P)找不到使用Burp Suite进行证书的方法
[英]Burp Suite - Pixel 2 XL (Android P) can't find a way to certificate using Burp Suite
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.