没有SSL集成的Web应用程序被代理截获

Question

我的应用程序是基于Spring框架的，用于传输应用程序的非常机密的data.During测试与代理工具，如Fiddler，Paros proxy等。我发现这些工具正在拦截请求数据，并且数据在到达服务器之前很容易被修改。

我的应用程序当前未与SSL集成。我们将实现SSL /HTTPS。但是这是因为SSL没有被集成吗？

代理工具在没有HTTPS的情况下拦截来自web应用程序的数据是正常的吗？

Answer 1

这里有两件事。

1)如果你不使用SSL，通信是不加密的，这意味着任何能够拦截流量的人都可以看到内容。你不一定需要一个代理。

2)使用拦截HTTP代理，您还可以看到SSL加密的流量。代理所做的是构建两个单独的SSL隧道，一个在服务器和代理之间，另一个在客户端和代理之间。这样，代理本身就可以看到整个流量。当然，代理只能提供一个伪造的SSL证书，这将在浏览器中为用户触发通知，但他可能会忽略它。

Answer 2

是。如果你不使用https，代理可以看到应用程序发送或接收的所有内容。

为了防止出现这种情况，您必须使用https。

为了防止sslstrip，您必须使用HSTS。