HTTPS経由のフォーム送信は暗号化されていませんか?
私の質問は、HTTPSフォームの送信に関するものです。当社のウェブサイトの1つはHTTPSを使用しており、HTTPSプロトコルを介してユーザーにログインページを表示します。
フォームが送信されたときに、サーバーに送信する前に「Burp Suite」というツールを使用してリクエストを傍受しようとすると、フォームのデータが暗号化されていないことがわかります。
これは正しい動作ですか?または、要求はネットワーク経由の送信でのみ保護されているようなものですか?
Burpはインターセプトプロキシであり、ブラウザとターゲットアプリケーション間のトラフィックを検査および変更できます。 Burpは実際に独自の証明書を提供しているため、リクエストの内容を確認できます。通常、Portswiggerによって発行された証明書のセキュリティ警告を受け入れます。これはBurpによって生成された証明書です。
アプリケーションを評価する場合は、代わりにWiresharkを使用して、HTTPリクエストを確認する必要があります。それらはあなたには見えないはずです。
通常、インターセプトを開始すると、burpスイートは独自のSSL証明書を提供し、ブラウザーに「警告」を作成します。これを使用して、ターゲットサイトに送信する前にBurpと通信しています。
別のメモでは、ユーザーがログインすると、HTTPに戻らないのですか? (あなたが言ったので:"ログインページをHTTPSプロトコル経由でユーザーに表示します")