Sslsplit适用于所有https流量(适用于所有受害网站)。但我只想为一个域提供swap证书。怎么做?
答案 0 :(得分:0)
使用OpenSSL生成与您要手动拦截的主机名匹配的伪造证书,并使用sslsplit的-t
和-P
选项。 -t
模式从目录中读取目标证书,并在连接与目录中证书的公用名匹配时使用它们,而不是动态生成伪造证书。确保不向sslsplit提供CA证书和密钥(无-c
/ -k
选项)。使用-P
使sslsplit传递连接与-t
给出的目录中的任何证书都不匹配。
如果您的目标站点使用专用IP地址,还有基于IP的方法来实现此目的。您只需在NAT设置中将目标网站的IP重定向到sslsplit。