Mi aplicación tiene una certificación ssl. Pero cuando intercepto la aplicación con una herramienta, puedo ver la información confidencial en un texto sin formato. ¿Cómo puede suceder? ¿La herramienta rompe la conexión SSL entre el navegador y el servidor? ¿O algún otro ataque de Man in Middle está ocurriendo aquí?
Verifique el certificado que se muestra en su navegador cuando accede a su aplicación. Debería ver que afirma ser de una compañía llamada Portswigger que son los fabricantes de Burp.
Lo que está sucediendo es que su navegador, los proxies a través de Burp, está recogiendo ese certificado y cifrando el tráfico con él. Burp puede descifrar ese tráfico y mostrarlo. También vuelve a cifrar el tráfico con el certificado del servidor original y lo envía al servidor para su procesamiento.
Lo mismo sucede a la inversa para las respuestas. Es efectivamente un hombre en el ataque central, pero uno que estás corriendo contra ti mismo.
Hay formas de protegerse contra esto, pero no siempre son adecuadas para las aplicaciones web debido a problemas de soporte del navegador.
Lea otras preguntas en las etiquetas tls