Przechwytywanie ruchu HTTPS aplikacji

charliel · Dołączył: 11 Gru 2017 Posty: 1

Witam!
Potrzebuj? zbada? requesty wysy?ane przez pewn? aplikacj?, jednak komunikacja odbywa si? przez HTTPS.
Próbowa?em zrobi? to Fiddlerem/Charlesem, jednak niektóre programy wymagaj? dodania wygenerowanego certyfikatu do zaufanych.
Np. Firefox nie otworzy strony dopóki nie potwierdzimy ?e certyfikat jest zaufany.
Podobnie sytuacja ma si? w przypadku Javy - dodanie certyfikatu do TrustStore, Pythona - dodanie dodatkowej linii kodu itp:
https://www.charlesproxy.com/[...]ing-charles/ssl-certificates/

Jednak w jaki sposób mog? analizowa? ruch jakiej? aplikacji która wspiera proxy (wi?c mog? ?atwo podpi?? fiddlera czy co? podobnego), ale nie akceptuje jego certyfikatu (nie traktuje go jako zaufany?)

Garf · Dołączył: 25 Maj 2005 Posty: 3607 Skąd: Rzeszów

Wszystko zale?y od tego, jak aplikacja zosta?a napisana. Je?li po partacku, to najzwyklejszy atak Man-in-the-Middle b?dzie skuteczny. Tutaj, s?dz?c po opisie, zak?adam ?e aplikacja jednak sprawdza czy certyfikat pochodzi od zaufanego dostawcy.
Je?li aplikacja nie stosuje techniki Certificate Pinning to jest jeszcze nadzieja. Musisz zrobi? sobie certyfikat CA, np. za pomoc? OpenSSH, i doda? go do zaufanych w systemie (Zaufane certyfikaty g?ówne). Nast?pnie wystawiasz certyfikat dla "docelowej" domeny i podpisujesz go swoim CA. Takie co? przejdzie, bo zrobienie samo-podpisanego certyfikatu jest niewystarczaj?ce.