La mia domanda riguarda l'invio di moduli HTTPS. Uno dei nostri siti Web utilizza HTTPS, visualizziamo la pagina di accesso all'utente tramite il protocollo HTTPS.
Quando il modulo viene inviato, se proviamo a intercettare la richiesta utilizzando uno strumento chiamato "Burp Suite" prima di inviarlo al server, vedo che il modulo Data non è crittografato.
È questo il comportamento giusto? o è qualcosa di simile alla richiesta di essere protetta solo nella trasmissione attraverso la rete?
Burp è un proxy di intercettazione che consente di ispezionare e modificare il traffico tra il browser e l'applicazione di destinazione. Burp sta effettivamente servendo il proprio certificato in modo che tu possa vedere cosa c'è dentro la richiesta. Normalmente avrai accettato un avviso di sicurezza per un certificato emesso da Portswigger, questo è il certificato generato da Burp.
Se vuoi valutare la tua applicazione dovresti usare invece Wireshark e guardare le richieste HTTP. Quelli non dovrebbero essere visibili a te.
Normalmente quando avvii l'intercettazione, la tua suite di burp fornirà il proprio certificato SSL che creerebbe un "avvertimento" per il tuo browser. Usando questo, stai parlando con Burp prima di inviarlo al sito di destinazione.
In un'altra nota, una volta che l'utente ha effettuato l'accesso, non si torna a HTTP, vero? (Dal momento che hai detto: "mostriamo la pagina di login all'utente tramite il protocollo HTTPS" )
Leggi altre domande sui tag web-application tls burp-suite