Proxy HTTP per SSL basato su smart card

2

Sto provando a pentestare un'applicazione web, che sembra utilizzare la smartcard dell'utente per creare il tunnel SSL, e da quell'implementazione dell'autenticazione con smartcard. Il mio problema è che non ho trovato un proxy, che è in grado di farlo.

  1. Burp Suite: Burp supporta le smartcard e posso caricare con successo le chiavi dalla smartcard (la dll necessaria è chiamata cardos11_64.dll). Tuttavia durante l'handshake SSL alla fine genererà un'eccezione con: SSLException: verifica del certificato di firma degli errori

Sono in procinto di testarlo con diverse versioni di Java, ma finora non ho avuto fortuna.

  1. proxy ZAP Supporto Burp suggerito per il tunnel attraverso un proxy ZAP. Il driver per smart card di cui ho bisogno non è integrato ma posso ancora scegliere la stessa DLL. Tuttavia, la GUI diventa piuttosto divertente e non posso più passare alla scheda Keystore, quindi non posso davvero selezionare i tasti. Quando passo il mouse sopra la posizione giusta, viene visualizzato un pulsante, che potrebbe effettivamente caricare una chiave (non è ancora sicuro se è quella giusta). Ma quando provo a connetterti, genererà un'eccezione con problemi nella scrittura di un socket.

Quindi la domanda è: qualcuno conosce un modo per proxy del traffico SSL in cui la smartcard non viene utilizzata solo nell'autenticazione, ma nell'intero handshake SSL?

    
posta gerion 31.03.2017 - 16:49
fonte

0 risposte

Leggi altre domande sui tag