【发布时间】:2014-07-09 22:40:22
【问题描述】:
假设我正在使用 .NET 编写一个使用 API 密钥的桌面应用程序,如果我在 url 中使用我的 API 密钥发出 https 请求,那么像 wireshark 或 fiddler 这样的应用程序可以拦截该流量并反过来发现我的 API 密钥?
【问题讨论】:
-
是的。请参阅stackoverflow.com/questions/15245718/… 进行讨论。
【发布时间】:2014-07-09 22:40:22
【问题描述】:
我建议使用 Fiddler 而不是 Wireshark,因为它的级别更高,并且 UI 更适合使用 HTTP。它还包括一个内置的 SSL 代理,它允许 MITM 攻击在您自己的系统上运行的进程,这将使您能够查看和修改 HTTPS 请求。
【讨论】:
-
所以可以使用 fiddler 从 https 请求中获取完整的 url?
-
@Rawr 是的。您可以从
Host:标头(或证书公用名)和每个 HTTP 请求的资源路径中获取域名。