Mientras se intercepta HTTPS utilizando Burp, se agrega el certificado de Burp al navegador, intercepté una solicitud de inicio de sesión y la contraseña aparece como texto sin formato. ¿Esto indica una vulnerabilidad o es el comportamiento esperado?
No es una vulnerabilidad.
Dado que la página transmite la contraseña a través de HTTPS, se cifra antes de enviarse a la red.
Usted permitió a Burp descifrar cualquier tráfico cifrado agregando su certificado a su almacén de certificados de confianza: esa es la única razón por la que Burp puede realizar una man-in-the-middle attack y vea la contraseña en formato de texto simple.
Cualquier otra persona solo verá el tráfico cifrado y ni siquiera podrá saber si se está transmitiendo una contraseña.
Lea otras preguntas en las etiquetas burp-suite