我希望通过拦截其 HTTPS 流量来对在各种设备上运行的产品进行漏洞研究,但除了安装自定义证书之外,我不想修改这些设备。
似乎SSLsplit做了我想要的,因为它允许“通过网络地址转换引擎透明地拦截连接并重定向到 SSLsplit ”。据我了解,这些 NAT 规则不必在运行 MITM-ed 应用程序的设备上定义,我可以自定义iptables以通过运行Fruity Wifi或OpenWRT的设备上的SSLsplit重定向路由器流量。
SSLsplit与修改后的 iptables 规则是否足够和合理的方式来解决这个问题,或者我是否也必须修改 Linux 网络系统的其他部分?
注意:我正在尝试构建的系统要求设备将证书安装到受信任的根存储以“选择加入”此拦截。我不是想建立一个系统来拦截来自不情愿的设备的任意流量。