Fiddler для воспроизведения запросов HTTPS

Question

Fiddler для воспроизведения запросов HTTPS

Может ли запрос HTTPS быть воспроизведен с использованием Fiddler/TamperData, возможно, из-за плохой обработки процесса входа в систему? Как только я выйду из своей системы (https), я смогу снова войти в систему, используя функцию воспроизведения. Саймон Бьюкен уже упоминал, что HTTPS не может быть воспроизведен. Ссылка: /questions/24512767/povtorite-ataki-dlya-zaprosov-https/24512771#24512771

Если повтор входит в систему, значит ли это, что моя учетная запись не справляется с атакой воспроизведения, или я неправильно выхожу из системы?

0

https fiddler webproxy session-replay

Источник

user1502619 03 янв '14 в 05:44

1 ответ

Решение

Другие вопросы по тегам https fiddler webproxy session-replay

user126229 03 янв '14 в 19:14 2014-01-03 19:14 · Accepted Answer · 2014-01-03 19:14

Саймон Бьюкен отмечает (правильно), что клиент не может отправлять одни и те же зашифрованные байты на сервер HTTPS и принимать их как допустимые; HTTPS обеспечивает защиту от такого "слепого" воспроизведения.

То, что делают Fiddler & TamperData, не одно и то же - эти инструменты начинаются с одинаковых незашифрованных байтов (например, вашего имени пользователя и пароля) и устанавливают новое HTTPS-соединение с сервером, а затем снова отправляют HTTPS-запрос на сервер на этом новое соединение.

Таким образом, это воспроизведение того же HTTPS-запроса, но не воспроизведение тех же необработанных байтов.

Не существует практического способа запретить инструменту с доступом к незашифрованным данным (как это делает Fiddler) войти на ваш сайт с использованием этой информации.