检测 HTTPS Post 请求正文(和 JSON-Body)

检测 HTTPS Post 请求正文(和 JSON-Body)

我有一个程序通过 JSON-API 与服务器通信。基本上它所做的就是发送 POST 请求到https://myserver/json在 POST 正文中包含一个 json 文件。

我需要一种方法来查看此主体的内部(url 始终为 /json)。但是,由于它是 https 请求,wireshark 和其他工具无法帮助我处理加密的正文。

有什么方法可以在加密之前查看后请求吗?有人指给我看https://github.com/socsieng/capture-proxy但我不知道如何在我的应用程序中使用这个工具

答案1

关于您的客户端的详细信息不足,因此很难回答是否可以在加密之前查看请求的问题。在我看来,您需要捕获允许捕获 HTTPS 通信的代理软件。基本上它的工作原理是这样的:

  1. 你启动 capture-proxy,它开始监听某个本地端口 - 可以说8080
  2. 您将客户端配置为使用代理localhost:8080进行 HTTP i HTTPS 通信,
  3. 你完成你的工作,客户端向你的代理发送一些请求,代理通过 HTTPS 将其转发到服务器,
  4. 服务器通过 HTTPS 响应代理,代理转发响应您的客户端。

结果,所有实际通信都会被记录下来,您可以对其进行分析。

据我所知,并非所有捕获代理都支持 HTTPS 代理。一定打嗝套件支持它,它是一个很棒的工具,尽管一开始看起来有点复杂。它有免费版本,足以满足您的任务。我不知道你的客户端是什么,但是,例如在浏览器中你需要添加 Burp CA其配置。

相关内容