Comme le dit 3molo. Si vous interceptez le trafic, alors port 443
est le filtre dont vous avez besoin. Si vous avez la clé privée du site, vous pouvez également décrypter ce SSL. (nécessite une version/construction de Wireshark activée pour SSL.)
Consultez http://wiki.wireshark.org/TLS
MODIFICATION
Cette réponse génère beaucoup de trafic, donc j'ajoute une deuxième option qui ne nécessite pas l'accès à la clé privée du serveur (décryptage RSA est également déconseillé)
- Définissez une variable d'environnement :
SSLKEYLOGFILE
sur un chemin de fichier à l'intérieur de votre répertoire personnel*. (par exemple ~/ssl-log.txt
)
- Ouvrez un navigateur et visitez un site TLS. Vérifiez que le fichier spécifié est créé.
- Lancez Wireshark. Ouvrez Préférences -> Protocoles -> TLS
- Dans le Journal (Pré)-Master-Secret, parcourez le nouveau fichier.
Maintenant, capturez une session comme d'habitude et vous devriez rapidement voir si votre trafic de session est décrypté en direct.
C'est plus sûr car vous ne conservez pas une copie de la clé privée pour le serveur, mais cela fonctionne naturellement uniquement sur un système où vous pouvez définir les variables d'environnement avant de capturer.
*Les clés de session sont également privées. Quelqu'un d'autre pourrait également les utiliser pour décrypter les mêmes données de session, donc assurez-vous qu'elles se trouvent dans un emplacement que vous seul pouvez lire.
0 votes
Pour ceux qui veulent voir les données déchiffrées sans accès au serveur, allez en intermédiaire : stackoverflow.com/questions/2136599/…