Ssl burp套件如何在加密的情况下拦截https请求？

我正试图让自己熟悉https的基本概念，突然发现了它的加密功能，简而言之，它的功能如下：

现在我看到我公司的QA工程师使用这个叫做burp套件的工具来拦截请求

我感到困惑的是，即使数据通过一个加密的通道流动，像burp suite这样的拦截工具如何能够拦截请求

只是想试试，我试着在打嗝套件中拦截请求

在这里，您可以清楚地看到测试电子邮件

test@gmail.com

我在截获的请求中使用了

为什么这些数据没有按照https标准进行加密

或者，如果是这样的话，burp套件是如何解密的呢

---

谢谢。

梅塔：这实际上不是一个开发或编程问题，尽管打嗝有时用于研究或调试

Burp CA证书-由于Burp中断了浏览器和服务器之间的TLS连接，如果您通过Burp代理访问HTTPS站点，默认情况下浏览器将显示警告消息。这是因为浏览器无法识别Burp的TLS证书，并推断您的流量可能被第三方攻击者拦截。要在TLS连接中有效地使用Burp，您确实需要在浏览器中输入，以便它信任Burp生成的证书

默认情况下，当您通过Burp浏览HTTPS网站时，代理会为每个主机生成一个TLS证书，由其自己的证书颁发机构（CA）证书签名

使用自己生成的证书（以及匹配的密钥，尽管网页没有提到这一点，因为人们看不到它），而不是来自真实站点的证书，允许Burp从客户端“终止”TLS会话，解密和检查数据，然后通过不同的TLS会话将数据转发到真实站点，反之亦然（除非配置为执行不同的操作，如修改数据）

。。。此CA证书在第一次运行Burp时生成，并存储在本地。要在HTTPS网站上最有效地使用Burp代理，您需要在浏览器中安装Burp的CA证书作为受信任的根

随后是关于风险的警告，并链接到操作说明

---

在浏览器中信任自己的CA证书意味着生成的证书被浏览器接受，并且对浏览器用户（或其他客户端）来说，一切看起来都很正常

攻击者是否可以像burp suite那样在我的客户端上安装自己的证书并拦截我的https请求？如果是，我们如何保护它？shellbot：如果攻击者对您的计算机具有管理/超级用户访问权限，那么是的，他们可以安装证书并使用它来拦截您的流量——但通过该访问权限，他们也可以直接窃取您的所有数据，而不必麻烦使用任何证书。您可以通过不向攻击者提供密码（大多数人不会这样做）和不运行允许攻击者访问您的计算机的易受攻击/错误（或完全恶意）软件来避免这些攻击。