重播HTTPS请求的Fiddler
HTTPS请求是否可以使用Fiddler/TamperData重播,可能是因为登录过程处理不当?一旦我退出我的系统(https),我就可以使用replay重新登录。 Simon Buchan已经提到HTTPS无法重播。 参考: 如果replay让我登录,这是否意味着我的登录没有处理replay攻击,或者是我没有正确地注销?Simon Buchan(正确地)指出,客户端无法将完全相同的加密字节发送到HTTPS服务器并使其接受为有效的字节;HTTPS提供的保护之一就是防止这种“盲目”重播 Fiddler和TamperData所做的并不是同一件事——这些工具从相同的未加密字节(例如,您的用户名和密码)开始,建立到服务器的新HTTPS连接,然后在新连接上再次向服务器发送HTTPS请求 因此,它是相同HTTPS请求的重播,但不是相同原始字节的重播重播HTTPS请求的Fiddler,https,fiddler,webproxy,session-replay,Https,Fiddler,Webproxy,Session Replay,HTTPS请求是否可以使用Fiddler/TamperData重播,可能是因为登录过程处理不当?一旦我退出我的系统(https),我就可以使用replay重新登录。 Simon Buchan已经提到HTTPS无法重播。 参考: 如果replay让我登录,这是否意味着我的登录没有处理replay攻击,或者是我没有正确地注销?Simon Buchan(正确地)指出,客户端无法将完全相同的加密字节发送到HTTPS服务器并使其接受为有效的字节;HTTPS提供的保护之一就是防止这种“盲目”重播 Fiddl
没有实际的方法可以阻止访问未加密数据的工具(如Fiddler)使用这些信息登录您的站点。非常感谢Eric提供的详细信息。考虑这个(只是测试)-我登录到社交网站,浏览,注销;然后,如果我重播其中一个身份验证后页面,响应与以前不同,我无法通过重播重新登录。你能对此发表评论吗?[感谢工具]更新:我可以重新登录,因为我可能没有正确地使会话无效。这取决于网站的工作方式。当您登录时,大多数站点都接受username:password并返回会话令牌。注销时,他们应该使该令牌过期(不再接受该令牌),但该站点仍将接受username:password以给您一个新令牌。因此,即使令牌正确过期,具有未加密流量的攻击者仍然可以进入。完美!我现在明白了。我想就我的情况而言,我不会让代币过期。谢谢你,埃里克。