私は携帯電話のアンドロイドアプリのHTTPS要求をペンテスト目的でFiddler経由で傍受しています。私はAndroidの携帯電話にフィドラー証明書をインストールしているので、HTTPSリクエストを傍受することができます。HTTPSの傍受要求をクリアテキストで取得することはバグです
私の質問は、自分の電話機からのHTTPS要求をFiddlerの平文で見ることができます。だから、それはアンドロイドアプリのバグですか、それとも普通のテキストでHTTPSリクエストを見るのは普通ですか?
私は世界をpentestingに新しいです助けてください:)
何かが間違っているようですが、音はありません。
HTTPSは、トランスポート層セキュリティ(TLS)プロトコル(多くの場合、SSLと同義)を使用して作成された暗号化トンネルにHTTPでラップされます。 Fiddler 認証局証明書を電話にインストールしているようです。こうすることで、「Fiddlerは任意のホストに対して新しいTLS証明書を生成することが許可されています」という電話に伝えます。電話は、実際のアプリのTLS証明書ではなく、Fiddlerによって生成されたTLS証明書を受け入れることが完全にうれしいはずです。したがって、FiddlerはHTTPSトラフィックを傍受し、傍受して上流に渡すことができます。現実の世界では、攻撃者がターゲットの電話にCA証明書をインストールするのは実行不可能ではないため、攻撃者はHTTPSトラフィックを傍受して読み取ることができなくなります。
アプリケーションまたはユーザーエージェントに特定の証明書のみを受け入れるように強制することができます(これは証明書のピン割り当てと呼ばれます)。また、アプリケーションがHTTPS(HTTP Strict-Transport-Security)のみを使用するように強制することもできます。他の関連するコントロールがありますが、これらはおそらく調べる価値があります。
平均してhttps://en.wikipedia.org/wiki/Certificate_authorityをチェックしてください。