如何调试 ssl 连接？

Question

我有一个通过 https 连接到 Web 服务的客户端应用程序。我需要“嗅探”Web 服务和客户端之间的所有网络流量，以检查一切是否正常，即我必须调试连接。

我尝试过 Wireshark，但由于我没有服务器私钥，wireshark 屏幕上显示的数据当然是加密的。

当我无法访问服务器本身并因此无法访问私钥和其他相关内容时，有没有办法观察客户端和 Web 服务之间的 ssl 网络流量？

提前致谢。

Answer 1

请参阅：调试 SSL 通信。

我知道理论上这是可以做到的 - 您可以设置一个与目标 Web 服务通信的代理，让您的应用程序通过该代理进行连接。这是一个已知的限制 - Https 假定您信任计算机上安装的所有代理和证书。它是一种中间人攻击的形式。

看看 Fiddler 是否有用。

人中-中间攻击

在一个
中间人攻击，攻击者
拦截用户流量进行捕获
凭据和其他相关
信息。然后攻击者使用
此信息可访问实际的
目的地网络。期间
过程中，攻击者通常服务
作为代理/网关，提供
向用户提供虚假 SSL VPN 站点；这
代理/网关可以传递任何内容
用户输入的身份验证
真正的目标站点。

Answer 2

你安装了python吗？

pip install mitmproxy

mitmproxy -p 1234

甚至一个 video 给你

（顺便说一句，我必须在 debian 上 apt-get install python-lxml apt-get 更新后挤压）

Answer 3

Burp Suite（甚至免费版）允许您设置 SSL“代理”，它将呈现一个与您的应用程序不同的证书，它将为您解密（并显示）流量。如果你也想在 localhost 中测试服务器，它也允许你设置代理（我在 Windows 中使用 Wireshark 和 Fiddler 无法做到这一点）。

Answer 4

如果您无权访问服务器的私钥，则无法执行太多操作来查看受 SSL/TLS 保护的内容。 （至少您会看到初始握手。）

如果您对客户端拥有完全控制权，您可以编写一个假服务器，该服务器将具有您控制的私钥和证书，并且将中继客户端发送的所有内容到实际的服务器。为此，您需要让客户端信任您自己的证书，因此您需要控制客户端。调整客户端上相应的 hosts 文件来执行 DNS 欺骗可能会更容易，从而使到正确主机名的连接转至您的假服务器。