我有一个通过 https 连接到 Web 服务的客户端应用程序。我需要“嗅探”网络服务和我的客户端之间的所有网络流量,以检查一切是否正常,即我必须调试连接。
我尝试过 Wireshark,但由于我没有服务器私钥,因此在 Wireshark 屏幕上显示的数据当然是加密的。
当我无法访问服务器本身以及私钥和其他相关内容时,有没有办法观察我的客户端和 Web 服务之间的 ssl 网络流量?
提前致谢。
【问题讨论】:
标签: web-services debugging ssl https sniffing
看到这个:Debugging SSL communications。
我知道理论上可以做到——您可以设置一个与目标 Web 服务通信的代理,将您的应用程序指向通过此代理进行连接。这是一个已知的限制 - Https 假设您信任安装在您机器上的所有代理和证书。它是Man-in-the-middle attack 的一种形式。
看看Fiddler是否有用。
在一个 中间人攻击,攻击者 拦截用户流量以捕获 证书和其他相关 信息。然后攻击者使用 此信息访问实际 目标网络。在此期间 过程中,攻击者通常服务于 作为代理/网关,呈现 向用户发送虚假 SSL VPN 站点;这 代理/网关通过任何 用户输入的身份验证 真正的目的地网站。
【讨论】:
CONNECT 方法)。
Burp Suite(甚至免费版)允许您设置 SSL“代理”,它将为您的应用程序提供不同的证书,并为您解密(并显示)流量。如果您也想在 localhost 中使用服务器进行测试,它也允许您设置代理(这是我在 Windows 中的 Wireshark 和 Fiddler 中无法做到的)。
【讨论】:
如果您无权访问服务器的私钥,则无法查看 SSL/TLS 保护的内容。 (至少你会看到最初的握手。)
如果您可以完全控制客户端,则可以编写一个假服务器,该服务器将拥有您控制的私钥和证书,并将客户端发送的所有内容中继到实际服务器。为此,您需要让客户端信任您自己的证书,因此您需要控制客户端。调整客户端上相应的 hosts 文件以执行 DNS 欺骗可能更容易,以便将正确主机名的连接转到您的假服务器。
【讨论】: