尽管加密，但burp-suite如何拦截https请求？

Question

当我遇到https的加密时，我试图使自己熟悉https的基本概念，其简述功能如下：

现在我已经看到我公司的质量检查工程师使用称为burp-suite的工具来拦截请求。

令我困惑的是，即使数据流经加密通道，但是像burp-suite这样的拦截工具也如何能够拦截请求。

为了尝试一下，我尝试在打p套件中拦截facebook请求，

在这里您可以清楚地看到我在被拦截的请求中使用的测试电子邮件test@gmail.com。

为什么未按照https标准对这些数据进行加密？

或者如果是的话，打p套件如何设法对其进行解密？

谢谢。

Answer 1

元：尽管Burp有时用于研究或调试，但这并不是开发或编程问题。

If you LOOK AT THE DOCUMENTATION on Using Burp Proxy

Burp CA证书-由于Burp中断了浏览器和服务器之间的TLS连接，因此，如果您通过Burp代理访问HTTPS站点，则默认情况下，浏览器将显示警告消息。这是因为浏览器无法识别Burp的TLS证书，并推断出您的流量可能已被第三方攻击者拦截。要通过TLS连接有效地使用Burp，您确实需要在浏览器中install Burp's Certificate Authority master certificate，以便它信任Burp生成的证书。

and following the link provided right there

默认情况下，当您通过Burp浏览HTTPS网站时，代理会为每个主机生成TLS证书，并由其自己的证书颁发机构（CA）证书签名。 ...

使用自己生成的证书（和匹配密钥，尽管该网页没有讨论该问题，因为它对人们不可见），而不是使用来自真实站点的证书，这使Burp可以“终止”来自TLS的TLS会话。客户端，解密和检查数据，然后将数据通过不同的TLS会话转发到真实站点，反之亦然（响应时，响应也是如此）（除非配置为执行其他操作，例如修改数据）。

...此CA证书是在Burp第一次运行时生成的，并存储在本地。要在HTTPS网站上最有效地使用Burp代理，您需要将Burp的CA证书安装为浏览器中的受信任根。

这之后是关于风险的警告，以及有关这样做的说明的链接。

在浏览器中信任自己的CA证书意味着生成的证书已被浏览器接受，并且一切看上去大多对浏览器用户（或其他客户端）而言是正常的。