Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
为了测试 Web 应用程序的漏洞,我们使用了 burp 套件。Burp 套件可以通过创建浏览器连接的代理服务器来拦截请求。我们的应用程序在 https 上运行,但是 burp 拦截器能够以纯文本而不是加密形式查看请求参数。由于代理是在本地设置的,我假设不会发生数据加密。我的假设是正确的还是我应该采取措施从 burp 拦截器中隐藏数据?
设置通过 HTTP 代理的 HTTPS 连接没有意义 - 在这种情况下,最后一英里(从您到代理并返回)是不安全的。这是设置的自然结果,您无法修复它 - 这是设计使然。
除非您专门配置了客户端和代理,否则通过 HTTPS 代理 (HTTP CONNECT) 设置 HTTPS 连接通常是安全的:(a) 创建假证书,(b) 显式调整浏览器以接受假证书,(c)设置代理以使用此假证书。