为什么我可以在代理服务器上看到通过HTTPS发送的登录凭据？

Question

我有一个使用HTTPS的登录页面，但是当我提交凭据并使用webscarab代理服务器拦截请求时，我可以看到纯文本形式的凭据，类似于此OWASP article中的第二个示例

我是不是误解了HTTPS/Webscarab的工作原理？如果我拦截一个通过HTTPS发送的请求，在代理服务器拦截登录凭据时，登录凭据不应该在请求中加密吗？

Answer 1

据我所知，WebScarab的目的是作为一个明确的代理，即浏览器必须被有目的地配置为连接到它。此时，SSL握手发生在浏览器和WebScarab之间，因此显然WebScarab可以以明文形式读取数据(您可以将其视为指示浏览器将WebScarab作为每个HTTP请求的目标主机)

如果你不自己设置代理，事情就会有所不同。在这种情况下，SSL握手是在您和目标主机之间执行的，因此无论您的HTTP请求通过多少中间代理，它只能由正确的中间代理解密