我的一位客户刚收到他所选开发商订购的软件,请我查看并准备托管程序。
这是一个Java(jar)应用程序,到目前为止一直很好......但是我看到了一些可疑的东西,每60分钟左右软件连接到远程主机:443端口使用SSL并传输~3-10 MB的加密数据(如POST)然后关闭连接,这很奇怪。尝试wirehark它,但一切都是加密的,我不知道传输什么样的数据,我只知道目标主机名。应用程序中的托管数据将是高度敏感的(保险经纪人),如果我的客户决定使用它 - 这对他的业务和他的客户来说是一个严重的问题,我已经向开发公司询问了这个问题,他们说没有人添加这样的东西,即使我提供了proff(pcap)。
我可以在防火墙内阻止它,但是如果它们添加了类似的内容,则可能存在另一台准备接收加密数据的主机。
我能解决的唯一方法是以某种方式解密SSL流量以读取RAW数据并向我的客户端提供所有需要的信息以便与开发公司交谈以对其进行排序,我该怎么做?使用某种ssl-proxy或其他...尝试google它但没有找到任何类型的相关教程。
我可以访问运行Java应用程序的物理机器,我可以看到流量的每一位但是......加密了。
答案 0 :(得分:0)
如果我在你的位置而不是试图解密ssl连接会尝试以下步骤:
1)由于您知道发布帖子请求的主持人,请了解有关该服务的更多信息,以了解它的作用?可以尝试联系该网站,说我们需要使用您的服务,我应该在邮寄请求中发送什么内容;)
2)第二种方法是,如果您可以反编译jar文件并在源代码中查找产生该请求的行,那么您可以回到开发人员询问为什么写这个。要查找正在进行调用的源代码,您可以阻止防火墙上的主机访问。 代码会失败,并且很可能他会将异常记录在他的日志文件中。找到堆栈跟踪,您将知道代码行 提出这个要求。
希望这有帮助。