Estoy tratando de hacer un pentest de una aplicación web, que parece estar usando la tarjeta inteligente del usuario para construir el túnel SSL, y al implementar la autenticación de la tarjeta inteligente. Mi problema es que no he encontrado un proxy que pueda hacer esto.
- Burp Suite: Burp es compatible con tarjetas inteligentes y puedo cargar con éxito las claves de la tarjeta inteligente (la dll necesaria se llama cardos11_64.dll). Sin embargo, durante el protocolo de enlace SSL, eventualmente lanzará una excepción con: SSLException: Error al firmar el certificado de verificación
Estoy en el proceso de probarlo con diferentes versiones de Java, pero hasta ahora no he tenido suerte.
- proxy ZAP Soporte de eructos sugerido para hacer un túnel a través de un proxy ZAP. El controlador de tarjeta inteligente que necesito no está integrado, pero puedo elegir de nuevo la misma dll. Sin embargo, entonces la GUI se vuelve un tanto divertida y ya no puedo cambiar a la pestaña Almacén de claves, así que realmente no puedo seleccionar las claves. Cuando muevo el mouse sobre el lugar correcto, aparece un botón, que en realidad podría cargar una clave (aún no estoy seguro de si es la correcta). Pero luego, cuando intento conectarme, se producirá una excepción con problemas al escribir un socket.
Entonces, la pregunta es, ¿alguien sabe una forma de proxy de tráfico SSL donde la tarjeta inteligente no solo se usa en la autenticación, sino en todo el protocolo de enlace SSL?