La mia applicazione ha una certificazione ssl. Ma quando intercetto l'app con uno strumento, sono in grado di vedere le informazioni sensibili in un testo normale. Come può accadere? Lo strumento interrompe la connessione SSL tra il browser e il server? o qualsiasi altro attacco Man in Middle sta accadendo qui?
Controlla il certificato mostrato nel tuo browser quando accedi alla tua applicazione. Dovresti vedere che afferma di provenire da una società chiamata Portswigger, i produttori di Burp.
Quello che sta succedendo è che il tuo browser, i proxy attraverso Burp, sta raccogliendo quel certificato e crittografando il traffico con esso. Burp può decrittografarlo e visualizzarlo. Inoltre, reencrypt il traffico con il certificato del server originale e lo invia al server per l'elaborazione.
Lo stesso accade al contrario per le risposte. E 'efficacemente un uomo nel mezzo dell'attacco, ma uno che stai correndo contro te stesso.
Ci sono modi per proteggersi da questo, ma non sono sempre appropriati per le applicazioni web a causa di problemi di supporto del browser.
Leggi altre domande sui tag tls