越来越明文HTTPS的监听请求是一个错误
问题描述:
我通过小提琴手拦截Android应用程序的HTTPS请求在我的手机为目的的渗透测试。我在我的android手机中安装了提琴手证书,以便拦截HTTPS请求。越来越明文HTTPS的监听请求是一个错误
我的问题是,我可以看到和我的手机在提琴手明文HTTPS请求。那么,它是一个Android应用程序的错误还是以明文形式查看HTTPS请求是正常的?
,请帮助我在新的世界渗透测试:)
答
这听起来并不像什么是错的。
HTTPS是HTTP包裹在一个加密隧道使用传输层安全(TLS)协议(其在许多情况下是代名词SSL)创建的。这听起来像你正在手机上安装证书颁发机构证书颁发机构证书。通过这样做,你告诉电话:“允许提琴手为任何主机生成新的TLS证书”。然后,手机应该非常乐意接受由Fiddler生成的TLS证书,而不是实际的应用程序的TLS证书,因此Fiddler可以拦截HTTPS流量,拦截并将其传递到上游。在现实世界中,攻击者难以在目标手机上安装CA证书,从而阻止攻击者拦截并读取HTTPS流量。
有可能迫使应用程序或用户代理为仅接受一个给定的证书(这被称为证书钉扎)。也可以强制应用程序仅使用HTTPS(HTTP严格传输安全性)。还有其他相关的控制,但这些可能值得研究。