Sto intercettando le richieste HTTPS di app Android nel mio telefono tramite Fiddler per scopi di pentesting. Ho installato il certificato Fiddler nel mio telefono Android in modo da poter intercettare le richieste HTTPS.
Posso vedere le richieste HTTPS da e verso il mio telefono in chiaro in Fiddler. È un bug dell'app per Android o è normale vedere le richieste HTTPS in chiaro?
Se stai usando il violinista per intercettare la connessione HTTPS con un certificato autoinstallato, stai conducendo un "uomo nel mezzo" attivo e autoindotto sulla tua connessione. Ciò significa che il violinista sta intercettando, decrittando e ricodificando il traffico tra il telefono e il server web, permettendoti di "vedere" nel pacchetto.
Leggi altre domande sui tag tls penetration-test reference-request tls-intercept fiddler