パスワードはHTTPSリクエストのburp suiteインターセプトを介してプレーンテキストとして表示されますが、問題ですか?
Burpを使用してHTTPSをインターセプトし、Burpの証明書がブラウザーに追加されている間に、ログイン要求をインターセプトすると、パスワードがプレーンテキストとして表示されます。これは脆弱性を示していますか、それとも予想される動作ですか?
脆弱性ではありません。
ページはパスワードをHTTPS経由で送信するため、ネットワークに送信される前に暗号化されます。
Burpが信頼できる証明書ストアに証明書を追加して、暗号化されたトラフィックを復号化することを許可しました。これが、Burpが man-in-the-middle攻撃 を実行してパスワードをプレーンテキストで表示できる唯一の理由ですフォーマット。
他の誰もが暗号化されたトラフィックしか見ることができず、パスワードが送信されているかどうかさえ知ることができません。