おそらくログインプロセスの処理が不十分なため、Fiddler/TamperData を使用して HTTPS 要求を再生できますか? システム (https) からログアウトすると、リプレイを使用して再度ログインできます。Simon Buchan は、HTTPS は再生できないと既に述べています。参照: https://stackoverflow.com/a/2770133/1502619
リプレイでログインする場合、それはログインがリプレイ攻撃を処理していないということですか、それとも正しくログアウトしていないということですか?
Simon Buchan は、クライアントがまったく同じ暗号化されたバイトを HTTPS サーバーに送信して、それを有効なものとして受け入れることはできないと (正しく) 指摘しています。HTTPS が提供する保護の 1 つは、そのような「ブラインド」リプレイに対する保護です。
Fiddler と TamperData が行うことは同じではありません。これらのツールは、同じ暗号化されていないバイト (ユーザー名とパスワードなど) で開始し、サーバーへの新しいHTTPS 接続を確立してから、そのサーバーに HTTPS 要求を再度送信します。新しいつながり。
したがって、これは同じ HTTPS リクエストのリプレイですが、同じ raw バイトのリプレイではありません。
暗号化されていないデータにアクセスできるツール (Fiddler など) が、その情報を使用してサイトにログインするのを防ぐ実際的な方法はありません。