为了测试Web应用程序漏洞,我们是burp套件。 Burp套件可以通过创建浏览器连接的代理服务器来拦截请求。我们的应用程序在https上运行,但是burp拦截器能够以纯文本而不是加密形式查看请求参数。由于代理是在本地设置的,我假设不会发生数据加密。我的假设是正确的,还是我应该采取措施隐藏burp拦截器的数据?
答案 0 :(得分:0)
通过HTTP代理设置HTTPS连接没有意义 - 在这种情况下,最后一英里(从您到代理和返回)不安全。这是设置的自然结果,你无法解决它 - 它是设计的。
通过HTTPS代理(HTTP CONNECT)设置HTTPS连接通常是安全的,除非您专门配置了客户端和代理:(a)创建假证书,(b)明确调整浏览器以接受假证书,(c)设置代理以使用这个假证书。