Forum Coders' city Strona Gwna Coders' city
Nasza pasja to programowanie!
 

 PomocPomoc   SzukajSzukaj   UytkownicyUytkownicy   GrupyGrupy  RejestracjaRejestracja 
Archiwum starego forum + teoria    RSS & Panel/SideBar
 ProfilProfil   Zaloguj si, by sprawdzi wiadomociZaloguj si, by sprawdzi wiadomoci   ZalogujZaloguj 

Potrzebuj szybkiej odpowiedzi na moje pytanie... Zasady

Przechwytywanie ruchu HTTPS aplikacji



 
Odpowiedz do tematu    Forum Coders' city Strona Gwna -> Sieci komputerowe i Internet
Zobacz poprzedni temat :: Zobacz nastpny temat  
Autor Wiadomo
charliel



Doczy: 11 Gru 2017
Posty: 1

PostWysany: Pon Gru 11, 2017 8:14 am  OP    Temat postu: Przechwytywanie ruchu HTTPS aplikacji Odpowiedz z cytatem Pisownia

Witam!
Potrzebuj? zbada? requesty wysy?ane przez pewn? aplikacj?, jednak komunikacja odbywa si? przez HTTPS.
Prbowa?em zrobi? to Fiddlerem/Charlesem, jednak niektre programy wymagaj? dodania wygenerowanego certyfikatu do zaufanych.
Np. Firefox nie otworzy strony dopki nie potwierdzimy ?e certyfikat jest zaufany.
Podobnie sytuacja ma si? w przypadku Javy - dodanie certyfikatu do TrustStore, Pythona - dodanie dodatkowej linii kodu itp:
https://www.charlesproxy.com/[...]ing-charles/ssl-certificates/

Jednak w jaki sposb mog? analizowa? ruch jakiej? aplikacji ktra wspiera proxy (wi?c mog? ?atwo podpi?? fiddlera czy co? podobnego), ale nie akceptuje jego certyfikatu (nie traktuje go jako zaufany?)
Powrt do gry
Zobacz profil autora Wylij prywatn wiadomo
Garf



Doczy: 25 Maj 2005
Posty: 3607
Skd: Rzeszw

PostWysany: Wto Gru 12, 2017 12:34 am      Temat postu: Odpowiedz z cytatem Pisownia

Wszystko zale?y od tego, jak aplikacja zosta?a napisana. Je?li po partacku, to najzwyklejszy atak Man-in-the-Middle b?dzie skuteczny. Tutaj, s?dz?c po opisie, zak?adam ?e aplikacja jednak sprawdza czy certyfikat pochodzi od zaufanego dostawcy.
Je?li aplikacja nie stosuje techniki Certificate Pinning to jest jeszcze nadzieja. Musisz zrobi? sobie certyfikat CA, np. za pomoc? OpenSSH, i doda? go do zaufanych w systemie (Zaufane certyfikaty g?wne). Nast?pnie wystawiasz certyfikat dla "docelowej" domeny i podpisujesz go swoim CA. Takie co? przejdzie, bo zrobienie samo-podpisanego certyfikatu jest niewystarczaj?ce.

_________________
Internet nadal „nic nie rozumie”, ?adnego odkrycia, cho?by od niego zale?a? los ?wiata,
ale nadanego w egzotycznym j?zyku, nie odr?ni od nieco mniej wa?nej wie?ci,
?e u ciotki w placku z jab?kami zrobi? si? w piekarniku zakalec.
Stanis?aw Lem
Powrt do gry
Zobacz profil autora Wylij prywatn wiadomo
Wywietl posty z ostatnich:   
Odpowiedz do tematu    Forum Coders' city Strona Gwna -> Sieci komputerowe i Internet Wszystkie czasy w strefie CET (Europa)

Strona 1 z 1

 
Skocz do:  
Moesz pisa nowe tematy
Moesz odpowiada w tematach
Nie moesz zmienia swoich postw
Nie moesz usuwa swoich postw
Nie moesz gosowa w ankietach
Moesz dodawa zaczniki na tym forum
Moesz pobiera pliki z tego forum




Debug: strone wygenerowano w 0.19588 sekund, zapytan = 11
contact

| Darmowe programy i porady Jelcyna | Tansze zakupy w Helionie | MS Office Blog |