Los envíos de formularios a través de HTTPS no están cifrados?

Navega tus respuestas
3

Mi pregunta es sobre el envío de formularios HTTPS. Uno de nuestro sitio web está utilizando HTTPS, mostramos la página de inicio de sesión al usuario a través del protocolo HTTPS.

Cuando se envía el formulario, si intentamos interceptar la solicitud utilizando una herramienta llamada "Burp Suite" antes de enviarla al servidor, veo que los datos del formulario no están cifrados.

¿Es este el comportamiento correcto? o es algo así como que la solicitud se está protegiendo solo en la transmisión a través de la red?

    
pregunta user37536 19.01.2014 - 15:57
fuente

2 respuestas

8

Burp es un proxy interceptor, que le permite inspeccionar y modificar el tráfico entre su navegador y la aplicación de destino. Burp en realidad está sirviendo su propio certificado para que pueda ver lo que está dentro de la solicitud. Normalmente, habrá aceptado una advertencia de seguridad para un certificado emitido por Portswigger, este es el certificado generado por Burp.

Si desea evaluar su aplicación, debe utilizar Wireshark en su lugar y observar las solicitudes HTTP. Esos no deberían ser visibles para ti.

    
respondido por el Lucas Kauffman 19.01.2014 - 16:12
fuente
2

Normalmente, cuando inicia la Intercepción, su conjunto de eructos proporcionará su propio certificado SSL que creará una "advertencia" para su navegador. Usando esto, está hablando con Burp antes de que lo envíe al sitio de destino.

En otra nota, una vez que el usuario ha iniciado sesión, no vuelve a cambiar a HTTP, ¿verdad? (Como dijo: "mostramos la página de inicio de sesión al usuario a través del protocolo HTTPS" )

    
respondido por el ndrix 19.01.2014 - 16:04
fuente

Lea otras preguntas en las etiquetas

¿Puede la autenticación en las redes sociales a través de VPN anular el propósito de este último? Considere un host de archivos de "conocimiento cero" como mega.co.nz. ¿Cómo se puede evitar que los usuarios suban contenido sin cifrar?