Ich versuche, Spotify zu testen, und es verwendet eine von der Equifax Secure Certificate Authority signierte Datei „cacert.pem“.
Ist es möglich, das zu umgehen und die Anfragen abzurufen? Im Moment kann ich es nicht erschnüffeln. (Versuch, Fiddler zu verwenden)
Antwort1
Laden Sie die Datei cacert.pem herunter.
Öffnen Sie cacert.pem in Notepad++.
Kopieren Sie den Hash des öffentlichen Schlüssels.
Gehen Sie zur Report-URI-Website.
Klicken Sie auf die Registerkarte „Tools“.
Scrollen Sie nach unten zu „HPKP Generator (PEM)“. Fügen Sie den Hash des öffentlichen Schlüssels ein . Klicken Sie auf die Hash-Schaltfläche. Mit diesem einen Hash des öffentlichen Schlüssels sollten Sie meiner Meinung nach auch in der Lage sein, zu umgehen, wenn Sie der von Ihnen verwendeten Software das Sniffing überlassen. Die Sniffing-Software könnte diesen einen Hash des öffentlichen Schlüssels verwenden, um die Pinnschritte abzuschließen und den Sniffing-Test Ihrer Website zu starten.