我通过Fiddler截取手机中的Android应用程序的HTTPS请求以进行测试。我在我的Android手机中安装了fiddler证书,这样我就可以拦截HTTPS请求了。
我的问题是,我可以在Fiddler中以明文形式看到来自我手机的HTTPS请求。那么,这是一个Android应用程序的错误,或者以明文形式查看HTTPS请求是否正常?
请帮助我在测试世界中崭露头角:)
答案 0 :(得分:1)
听起来没有任何错误。
HTTPS是使用传输层安全性(TLS)协议(在许多上下文中与SSL同义)创建的加密隧道中包装的HTTP。听起来您正在手机上安装Fiddler 证书颁发机构证书。通过这样做,您可以告诉电话:" Fiddler可以为任何主机生成新的TLS证书"。然后,手机应该非常乐意接受由Fiddler生成的TLS证书,而不是实际应用程序的TLS证书,因此Fiddler可以拦截HTTPS流量,拦截它并将其传递到上游。在现实世界中,攻击者在目标手机上安装CA证书是不可能的,因此将阻止攻击者拦截和读取HTTPS流量。
可以强制应用程序或用户代理仅接受给定证书(这称为证书锁定)。它也可以强制应用程序仅使用HTTPS(HTTP Strict-Transport-Security)。还有其他相关的控制措施,但这些可能值得研究。