能够在SSL连接上看到纯文本请求数据的代理
对于web应用程序漏洞的测试,我们是burp套件。Burp suite可以通过创建浏览器连接到的代理服务器来拦截请求。我们的应用程序运行在https上,但是burp拦截器能够看到纯文本而不是加密形式的请求参数。由于代理是在本地设置的,我假设数据加密不会发生。我的假设是正确的,还是应该采取措施对burp拦截器隐藏数据?
共有1个答案
>
通过HTTP代理设置HTTPS连接是没有意义的--在这种情况下,最后一英里(从您到代理和返回)是不安全的。这是设置的自然后果,你无法修复它--这是设计的。
通过HTTPS代理(HTTP CONNECT)设置HTTPS连接通常是安全的,除非您已经专门配置了客户端和代理:(a)创建假证书,(b)显式调整浏览器以接受假证书,(c)设置代理以使用此假证书。
-
对于Jmeter上的JDBC请求,我已经用giving正确地配置了数据库连接配置 数据库URL-jdbc:mysql://developmentdb.cwwxeukesrtn.ap-southeast-1.rds.amazonaws.com;development_db JDBC驱动程序类-com.mysql.JDBC.Driver 响应消息: java.sql.sqlException:无法创建
-
文件如下所示 定义了以下角色 管理员和用户在中被授予特权,如下所示 通过上述设置,任何客户机使用任何信任存储或用户名和密码都可以在端口上连接到代理,并生成和使用消息。我错过了什么,让这种情况发生?
-
我在Windows上使用DBeaver V5.2.5并使用它连接到PostgreSQL数据库。 要创建连接,我必须指定数据库,并且我没有在同一服务器上看到其他数据库的意思。 在windows版本上是否有等效的设置?
-
问题内容: 我正在使用Express 3,并且想处理 文本/纯 POST。 Express 3 现在使用connect的bodyParser(我认为旧的Express代码已转移到connect)。bodyParser的文档提供了有关如何使其支持其他文件类型的一些详细信息。而且我找到了一篇很棒的博客文章,内容涉及在旧版本的Express中如何处理文本/纯文本。 我是否应该明确要求连接(并让节点的要求
-
问题内容: 我有一个Java兼容的软件包可以与网络上的https服务器通信。运行编译会产生以下异常: 我认为这是由于与客户端计算机建立的连接不安全。有什么方法可以配置本地计算机或端口以连接到远程https服务器? 问题答案: 我认为这是由于与客户端计算机建立的连接不安全。 这是由于您正在与HTTP服务器而不是HTTPS服务器进行通信。可能您没有为HTTPS使用正确的端口号。
-
请知道,我对数据库很陌生。我能够正确安装mySQL和java连接器驱动程序。但每当我在eclipse中运行程序并尝试从我创建的数据库中检索信息时,我都会收到以下消息:“需要SSL连接,但服务器不支持”。下面是我要使用安全SSL连接运行的代码: `公共静态void main(字符串[]参数){