Https
SSLsplit 是攔截和重新加密 wifi 路由器上的 HTTPS 流量的正確工具嗎?
我希望通過攔截其 HTTPS 流量來對在各種設備上執行的產品進行漏洞研究,但除了安裝自定義證書之外,我不想修改這些設備。
似乎**SSLsplit 可以滿足我的要求,因為它允許 “連接$$ to be $$通過網路地址轉換引擎透明攔截並重定向到“SSLsplit ”。據我了解,這些NAT規則不必在執行MITM-ed應用程序的設備上定義,我可以自定義iptables來重定向路由器在執行Fruity Wifi或OpenWRT的設備上通過SSLsplit**的流量。
SSLsplit與修改後的 iptables 規則是否足夠和合理的方式來解決這個問題,或者我是否也必須修改 Linux 網路系統的其他部分?
**注意:**我正在嘗試建構的系統要求設備將證書安裝到受信任的根儲存以“選擇加入”此攔截。我不是想建立一個系統來攔截來自不情願的設備的任意流量。
這裡有兩個部分:作為客戶端連接的 Web 伺服器的 SSLsplit,以及交換數據包中的目標地址以將它們重定向到 SSLsplit 伺服器的 NAT。
需要在客戶端設備使用的路由器上設置 NAT,將數據包的目標地址從實際目標伺服器更改為 SSLsplit 伺服器。
然後 SSLsplit 可以獲取連接並做它的事情:連接到外部主機(在 TLS 握手中可用)並轉發響應。
因此,從網路角度來看,唯一的事情是您需要確保客戶端獲得這樣的網路選項,即它們的預設網關指向執行 NAT 的路由器。