Forum Coders' city Strona Główna Coders' city
Nasza pasja to programowanie!
 

 PomocPomoc   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy  RejestracjaRejestracja 
Archiwum starego forum + teoria    RSS & Panel/SideBar
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Potrzebuję szybkiej odpowiedzi na moje pytanie... Zasady

Przechwytywanie ruchu HTTPS aplikacji



 
Odpowiedz do tematu    Forum Coders' city Strona Główna -> Sieci komputerowe i Internet
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
charliel



Dołączył: 11 Gru 2017
Posty: 1

PostWysłany: Pon Gru 11, 2017 8:14 am  OP    Temat postu: Przechwytywanie ruchu HTTPS aplikacji Odpowiedz z cytatem Pisownia

Witam!
Potrzebuj? zbada? requesty wysy?ane przez pewn? aplikacj?, jednak komunikacja odbywa si? przez HTTPS.
Próbowa?em zrobi? to Fiddlerem/Charlesem, jednak niektóre programy wymagaj? dodania wygenerowanego certyfikatu do zaufanych.
Np. Firefox nie otworzy strony dopóki nie potwierdzimy ?e certyfikat jest zaufany.
Podobnie sytuacja ma si? w przypadku Javy - dodanie certyfikatu do TrustStore, Pythona - dodanie dodatkowej linii kodu itp:
https://www.charlesproxy.com/[...]ing-charles/ssl-certificates/

Jednak w jaki sposób mog? analizowa? ruch jakiej? aplikacji która wspiera proxy (wi?c mog? ?atwo podpi?? fiddlera czy co? podobnego), ale nie akceptuje jego certyfikatu (nie traktuje go jako zaufany?)
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Garf



Dołączył: 25 Maj 2005
Posty: 3607
Skąd: Rzeszów

PostWysłany: Wto Gru 12, 2017 12:34 am      Temat postu: Odpowiedz z cytatem Pisownia

Wszystko zale?y od tego, jak aplikacja zosta?a napisana. Je?li po partacku, to najzwyklejszy atak Man-in-the-Middle b?dzie skuteczny. Tutaj, s?dz?c po opisie, zak?adam ?e aplikacja jednak sprawdza czy certyfikat pochodzi od zaufanego dostawcy.
Je?li aplikacja nie stosuje techniki Certificate Pinning to jest jeszcze nadzieja. Musisz zrobi? sobie certyfikat CA, np. za pomoc? OpenSSH, i doda? go do zaufanych w systemie (Zaufane certyfikaty g?ówne). Nast?pnie wystawiasz certyfikat dla "docelowej" domeny i podpisujesz go swoim CA. Takie co? przejdzie, bo zrobienie samo-podpisanego certyfikatu jest niewystarczaj?ce.

_________________
Internet nadal „nic nie rozumie”, ?adnego odkrycia, cho?by od niego zale?a? los ?wiata,
ale nadanego w egzotycznym j?zyku, nie odró?ni od nieco mniej wa?nej wie?ci,
?e u ciotki w placku z jab?kami zrobi? si? w piekarniku zakalec.
Stanis?aw Lem
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Odpowiedz do tematu    Forum Coders' city Strona Główna -> Sieci komputerowe i Internet Wszystkie czasy w strefie CET (Europa)

Strona 1 z 1

 
Skocz do:  
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz dodawać załączniki na tym forum
Możesz pobierać pliki z tego forum




Debug: strone wygenerowano w 0.03904 sekund, zapytan = 11
contact

| Darmowe programy i porady Jelcyna | Tansze zakupy w Helionie | MS Office Blog |