Web アプリケーションの脆弱性をテストするために、私たちは burp スイートを使用しています。Burp スイートには、ブラウザが接続するプロキシ サーバーを作成してリクエストを傍受するオプションがあります。私たちのアプリケーションは https で実行されていますが、バープ インターセプターは、暗号化された形式ではなくプレーン テキストで要求パラメーターを確認できます。プロキシはローカルに設定されているため、データの暗号化は行われないと想定しています。私の仮定は正しいですか、それともげっぷインターセプターからもデータを隠すための対策を講じる必要がありますか?
質問する
1299 次
1 に答える
0
HTTP プロキシを経由するように HTTPS 接続をセットアップすることは意味がありません。この場合、ラスト マイル (プロキシとの間) が保護されていません。これはセットアップの自然な結果であり、修正することはできません。これは設計によるものです。
HTTPS プロキシ (HTTP CONNECT) を経由する HTTPS 接続のセットアップは、(a) 偽の証明書を作成する、(b) ブラウザを明示的に微調整して偽の証明書を受け入れる、(c) クライアントとプロキシを特に構成しない限り、一般的に安全です。この偽の証明書を使用するようにプロキシを設定します。
于 2013-06-15T07:51:02.670 に答える