2

HTTPSを使用するログインページがありますが、クレデンシャルを送信し、webscarabプロキシサーバーでリクエストをインターセプトすると、このOWASP記事の2番目の例のように、クレデンシャルがプレーンテキストで表示されます。

HTTPS / Webscarabがどのように機能するか誤解していますか?HTTPS経由で送信されるリクエストをインターセプトしている場合、プロキシサーバーがインターセプトするまでに、ログイン資格情報をリクエストで暗号化するべきではありませんか?

4

1 に答える 1

3

私が理解しているように、WebScarabは明示的なプロキシとして使用することを目的としています。つまり、ブラウザはそれに接続するように意図的に構成する必要があります。この時点で、SSLハンドシェイクはブラウザとWebScarabの間で発生するため、明らかにWebScarabはデータをクリアテキストで読み取ることができます(ブラウザがWebScarabをすべてのHTTPリクエストのターゲットホストとしてスレッド化するように指示されていると考えることができます)

自分でプロキシを設定しないと、動作が異なります。この場合、SSLハンドシェイクはユーザーとターゲットホスト間で実行されるため、HTTPリクエストが通過する中間エージェントの数は関係なく、適切なエージェントによってのみ解読できます。

于 2012-08-16T15:34:52.930 に答える