Burp套件:请求体的URL编码-这安全吗？

Question

通过分析android应用程序的流量帖子请求，它以URL编码的形式发送一些重要的数据。这很容易解码和获取数据。数据通过HTTPS发送。但是，执行数据的URL编码安全吗？虽然它使用的是HTTPS，但我想它并不会使它不容易受到MITM攻击。或者我可以很容易地解码这个URL编码，因为我正在使用Burp查看流量？如果没有，我认为数据应该被加密，而不是编码。

请澄清这一点。

Answer 1

我假设您遇到了POST数据的内容类型application/x-www-form-urlencoded，如果表单中没有其他内容类型，这是默认类型。顾名思义--在这种情况下，请求主体是urlencoded的。这并不是试图保护数据，而是为了保证清晰的解释，即输入名称开始和结束的地方，值开始和结束的地方等等。

就其安全性而言，这一问题没有任何意义，因为它最初并不打算增加安全性。取而代之的是HTTPS增加了安全性，它可以防止中间不可信的人对数据进行嗅探和修改。

如果没有，我认为数据应该被加密，而不是编码。

这就是HTTPS所做的。只有您正在使用Burp，并有您的浏览器设置使Burp成为一个可信的人在中间，能够解密和修改流量。