盡管加密,burp-suite 如何攔截 https 請求?
[英]How does burp-suite intercept https requeest inspite of the encryption?
問題描述
當我遇到它的加密時,我試圖讓自己熟悉 https 的基本概念,簡而言之,它的功能如下,
現在我看到我公司的 QA 工程師使用這個叫做 burp-suite 的工具來攔截請求。
我感到困惑的是,即使數據流經加密通道,任何攔截工具(如 burp-suite)如何設法攔截請求。
只是為了嘗試一下,我試圖在 burp-suite 中攔截facebook請求,
這里可以清楚的看到我截取的請求中使用的測試email test@gmail.com 。
為什么這些數據沒有按照 https 標准加密?
或者如果是,那么burp-suite如何設法解密它?
謝謝你。
1 個解決方案
解決方案1
1 已采納 2020-05-10 22:16:35
Meta:這不是真正的開發或編程問題或問題,盡管 Burp 有時用於研究或調試。
Burp CA 證書- 由於 Burp 會中斷瀏覽器和服務器之間的 TLS 連接,如果您通過 Burp 代理訪問 HTTPS 站點,您的瀏覽器默認會顯示警告消息。 這是因為瀏覽器無法識別 Burp 的 TLS 證書,並推斷您的流量可能被第三方攻擊者攔截。 要通過 TLS 連接有效地使用 Burp,您確實需要在瀏覽器中安裝 Burp 的證書頒發機構主證書,以便它信任 Burp 生成的證書。
默認情況下,當您通過 Burp 瀏覽 HTTPS 網站時,代理會為每個主機生成一個 TLS 證書,由其自己的證書頒發機構 (CA) 證書簽名。 ...
使用它自己生成的證書(和匹配的密鑰,盡管網頁沒有談論它,因為它對人們不可見)而不是來自真實站點的證書允許 Burp 從客戶端“終止”TLS session,解密並檢查數據,然后通過不同的 TLS session 將該數據轉發到真實站點,反之亦然(除非配置為執行不同的操作,例如修改數據)。
...此 CA 證書在 Burp 首次運行時生成,並存儲在本地。 要在 HTTPS 網站上最有效地使用 Burp 代理,您需要在瀏覽器中安裝 Burp 的 CA 證書作為受信任的根。
隨后是有關風險的警告,以及相關說明的鏈接。
在瀏覽器中信任自己的 CA 證書意味着生成的證書被瀏覽器接受,並且對於瀏覽器用戶(或其他客戶端)來說,一切看起來都很正常。
與Burp Suite代理結合Wireshark嗅探https / SSL流量
[英]Sniffing https/SSL traffic with Burp Suite Proxy in combination with Wireshark
Burp Suite-Pixel 2 XL(Android P)找不到使用Burp Suite進行證書的方法
[英]Burp Suite - Pixel 2 XL (Android P) can't find a way to certificate using Burp Suite
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.