能够在SSL连接上以纯文本形式查看请求数据的代理

Question

为了测试web应用程序的漏洞，我们使用了burp套件。Burp套件有一个选项，可以通过创建浏览器连接到的代理服务器来拦截请求。我们的应用程序在https上运行，但是burp拦截器能够以纯文本而不是加密的形式查看请求参数。由于代理是在本地设置的，所以我假设不会发生数据加密。我的假设是否正确，或者我是否也应该采取措施对burp拦截器隐藏数据？

Answer 1

1. 通过HTTP proxy建立HTTPS连接是没有意义的-在这种情况下，最后一英里(从您的到代理再返回)是不安全的。这是设置的自然结果，你无法修复它--这是设计出来的。
2. 通过HTTPS代理(HTTP CONNECT)建立HTTPS连接通常是安全的，除非您专门配置了客户端和代理：(a)创建假证书，(b)明确调整浏览器以接受假证书，(c)将代理设置为使用此假证书。