我的应用程序基于Spring框架,用于传输非常机密的数据。在使用Fiddler,Paros Proxy等代理工具测试应用程序时,发现这些工具正在拦截请求数据,数据是在到达服务器之前很容易修改。
我的应用程序目前尚未与SSL集成。我们将实施SSL / HTTPS。但这是因为SSL还没有集成?
代理工具使用HTTPS拦截来自Web应用程序的数据是否正常?
答案 0 :(得分:1)
这里有两件事。
1)如果您不使用SSL,则通信未加密,这意味着任何能够拦截流量的人都能够看到内容。你不一定需要代理。
2)使用拦截HTTP代理,您也可以看到SSL加密流量。代理所做的是在服务器和代理之间构建两个单独的SSL隧道,在客户端和代理之间构建一个SSL隧道。这样代理本身就可以看到整个流量。当然,代理只能提供虚假的SSL证书,它会在浏览器中为用户触发通知,但他可能会忽略它。
答案 1 :(得分:0)
是。如果您不使用https,则Proxy会查看应用程序发送或接收的所有内容。
为防止这种情况,您必须使用https。
要防止sslstrip,您必须使用HSTS。