Mentre l'intercettazione di HTTPS utilizzando il certificato di Burp e Burp è stata aggiunta al browser, ho intercettato una richiesta di accesso e la password si presenta come testo in chiaro. Indica una vulnerabilità o è il comportamento previsto?
Mentre l'intercettazione di HTTPS utilizzando il certificato di Burp e Burp è stata aggiunta al browser, ho intercettato una richiesta di accesso e la password si presenta come testo in chiaro. Indica una vulnerabilità o è il comportamento previsto?
Non è una vulnerabilità.
Poiché la pagina trasmette la password tramite HTTPS, è crittografata prima di essere inviata sulla rete.
Hai permesso a Burp di decifrare qualsiasi traffico crittografato aggiungendo il loro certificato nel tuo archivio di certificati attendibili: questo è l'unico motivo per cui Burp è in grado di eseguire un attacco man-in-the-middle e vedere la password in formato testo normale.
Qualcun altro vedrà solo il traffico crittografato e non sarà nemmeno in grado di dire se viene trasmessa una password.
Leggi altre domande sui tag burp-suite