Detectar o corpo da solicitação de publicação HTTPS (e o corpo JSON)

Navegue suas respostas
0

Eu tenho um programa que se comunica com um servidor por meio de uma API JSON. Basicamente, o que está fazendo é enviar solicitações POST para o link com um arquivo json dentro do corpo do POST.

Eu preciso de uma maneira de olhar para dentro deste corpo (o URL sempre será / json). No entanto, como é um https-request wireshark e outras ferramentas não podem me ajudar com o meu corpo criptografado.

Existe alguma maneira de ver o post-request ANTES que ele seja criptografado? Alguém me indicou o link , mas não sei como usar essa ferramenta com meu aplicativo

    
por Frame91 30.09.2015 / 18:35

1 resposta

1

Não há detalhes suficientes sobre o seu cliente, por isso, é difícil responder à pergunta. É possível ver a solicitação antes da criptografia. Na minha opinião, você precisa capturar um software proxy que permita capturar a comunicação HTTPS. Basicamente funciona assim:

  1. você inicia o proxy de captura e ele começa a ouvir em alguma porta local - digamos 8080 ,
  2. você configura seu cliente para usar o proxy localhost:8080 para comunicação HTTP i HTTPS,
  3. você faz o seu trabalho, o cliente envia algumas solicitações para o seu proxy que o encaminha para o servidor através de HTTPS,
  4. o servidor responde por meio do HTTPS ao proxy e os encaminhadores do proxy respondem ao seu cliente.

Em resultado, toda a comunicação real é registrada e você pode analisá-la.

Até onde eu sei, nem todos os proxy de captura suportam o proxy HTTPS. Com certeza, o Burp Suite oferece suporte e é uma excelente ferramenta, embora possa parecer um pouco complicado no começo. E tem versão gratuita, que será mais que suficiente para sua tarefa. Eu não sei qual é o seu cliente, mas, por exemplo, nos navegadores, você precisa adicionar a Burp CA à sua configuração .

    
por 01.10.2015 / 11:32

Tags

Instalando o Driver Proprietário e Atualizando sources.list Downgrade de Wily para Trusty