我需要它进行安全测试。 我的目的是检查应用程序的行为方式,如果攻击者提供的证书具有错误的公用名(CN)和/或SubjectAltName,但是由正确的CA签名。
我认为测试中的应用程序错误地使用了HostnameVerifier,需要证明它。
答案 0 :(得分:2)
以下是Telerik(Eric Lawrence)的正式答复:
点击规则>自定义规则。滚动到 OnBeforeRequest 。
在该功能中,添加以下内容:
if (oSession.HTTPMethodIs("CONNECT") &&
oSession.HostnameIs("siteIcareabout.com"))
{
oSession["X-OverrideCertCN"] = "badhostname.net";
}
保存文件并重新启动浏览器,如果之前已建立与https://siteIcareabout.com的任何连接。
========================== 我查了一下它就可以了。
答案 1 :(得分:0)
Vanilla Fiddler缺乏执行此操作的机制,因此您需要使用外部工具或插件。一些例子是cataloged here。
当然,您生成的任何证书都将由Fiddler根证书签名,因此您运行该应用程序的平台需要信任该证书