web-dev-qa-db-ja.com

げっぷCAのセキュリティリスク

AndroidアプリをテストするためのプロキシとしてBurpを使用しています。これを機能させるために、Burp CA証明書を携帯電話にインストールしました。理解できる限り(それほど多くはありません) CA証明書は特定のインスタンス/デバイス用にBurpによって作成されるため、大きなセキュリティリスクを追加することなく、この証明書を電話に残すことができます。

しかし、これについてはよくわかりません。質問は、テスト後にBurp CA証明書を削除するのではなく、インストールしたままにしておくと、個人の電話にどのようなセキュリティリスクが発生するのでしょうか。なぜ?

1
Wealot

CAキーを管理している限り、リスクが大幅に増加する可能性は低いと言っても過言ではありません。

基本的に、誰かがburpによって使用されるCAキーの制御を取得した場合、そのCAによって発行された証明書が有効であると見なされるため、電話に対してMITM攻撃を実行できます。

ただし、あなたが言うように、キーはげっぷの各インストールに固有であり、問​​題のキーを紛失しない限り、攻撃者はそれを悪用することはできません。

2
Rory McCune

心配することは何もありません。 mitmproxyを初めて実行すると、CAの一意のキーが生成されます。これは、他の誰も同じキーを生成して、あなたのために作成されたCAからキーを辞任することができないことを意味します。

次のリンクを参照してください。 http://docs.mitmproxy.org/en/stable/certinstall.html#the-mitmproxy-certificate-authority

0
MikeSchem