Сканирование защищенного сайта

Question

Сканирование защищенного сайта

2

Если я хочу обходить сайт с сертификатами SSL, как это сделать?

Я знаю, что есть класс WebClient в С# и HttpWebRequest/HttpWebResponse, но какие изменения мне нужно сделать?

dotnetdev 10 авг. 2009, в 22:37

Источник

Теги:

c#

asp.net

2 ответа

1

Просто добавьте это в начало приложения

    ServicePointManager.ServerCertificateValidationCallback += delegate(object sender,  X509Certificate certifcate, X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
    return true;
};

Это приведет к тому, что HttpWebRequest примет любые сертификаты с серверов.

Mikael Svenson 10 авг. 2009, в 18:36

0

-1. Хотя этот хак обычно используется для принятия самозаверяющих сертификатов, он крайне небезопасен и должен выполняться только тогда, когда были опробованы все другие варианты и когда риски (которые часто бывают серьезными) известны. Наилучшим вариантом является установка сертификата сервера на компьютер, выполняющий запрос.
Randolpho 10 авг. 2009, в 20:34
0

Я не согласен с -1. Он сказал, что должен сканировать сайт, то есть загружать все страницы так, как я их читаю. Взаимодействуя с одним или несколькими известными сайтами для транзакций, я полностью согласен с вами, что вы должны выполнить надлежащую аутентификацию сертификата.
Mikael Svenson 10 авг. 2009, в 20:38
0

Не соглашайтесь на -1 либо. Зачем ему сканировать то, чему он не доверял, и последствия использования WebRequest для безопасности гораздо меньше, чем для браузера.
Brandon 10 авг. 2009, в 20:44
0

Микаэль: Ваш ответ был бы верным, если бы у человека возникли проблемы с «недействительным сертификатом» на локальном сервере. Говорить людям просто добавлять этого делегата в верхнюю часть приложения, если ему нужно выполнить сканирование ssl, нехорошо.
Espo 10 авг. 2009, в 20:49
0

Я на самом деле имел в виду ползать, как просто доступ к страницам. Я думал, что может быть что-то еще вовлечено. Извиняюсь за отсутствие ясности.
GurdeepS 10 авг. 2009, в 20:49
0

routeNpingme: В этом проблема, вы не знаете, на каком сайте вы сканируете, если не проверяете сертификат.
Espo 10 авг. 2009, в 20:49
0

+1 Хотя я сомневаюсь в целесообразности разрешения самозаверяющих сертификатов в целом, этот ответ был дан добросовестно и на самом деле полезен при извлечении с сервера разработки.
Steven Sudit 10 авг. 2009, в 20:53
0

Стивен: Как это «добросовестно» говорить людям игнорировать сертификаты, даже если у них нет проблем с ними?
Espo 10 авг. 2009, в 20:59
0

@ Espo: при программном сканировании сайта вполне может иметь смысл разрешить самозаверяющие сертификаты. Это особенно касается машин для разработки, которые не являются общедоступными и поэтому не заслуживают затрат на настоящий сертификат.
Steven Sudit 10 авг. 2009, в 23:12
0

Не просто разработчики машин. Я работал несколько лет в компании, сканирующей новостные сайты, и мы решили добавить это, поскольку мы не могли контролировать, какие сайты добавляются в систему. Но я согласен, что прочитал слишком много в вопросе, и сожалею об этом.
Mikael Svenson 11 авг. 2009, в 06:57
0

@Mikael: Хороший вопрос, и никакого вреда не сделано.
Steven Sudit 11 авг. 2009, в 14:52

Показать ещё 9 комментариев

Ещё вопросы

-1. Хотя этот хак обычно используется для принятия самозаверяющих сертификатов, он крайне небезопасен и должен выполняться только тогда, когда были опробованы все другие варианты и когда риски (которые часто бывают серьезными) известны. Наилучшим вариантом является установка сертификата сервера на компьютер, выполняющий запрос.
Я не согласен с -1. Он сказал, что должен сканировать сайт, то есть загружать все страницы так, как я их читаю. Взаимодействуя с одним или несколькими известными сайтами для транзакций, я полностью согласен с вами, что вы должны выполнить надлежащую аутентификацию сертификата.
Не соглашайтесь на -1 либо. Зачем ему сканировать то, чему он не доверял, и последствия использования WebRequest для безопасности гораздо меньше, чем для браузера.
Микаэль: Ваш ответ был бы верным, если бы у человека возникли проблемы с «недействительным сертификатом» на локальном сервере. Говорить людям просто добавлять этого делегата в верхнюю часть приложения, если ему нужно выполнить сканирование ssl, нехорошо.
Я на самом деле имел в виду ползать, как просто доступ к страницам. Я думал, что может быть что-то еще вовлечено. Извиняюсь за отсутствие ясности.
routeNpingme: В этом проблема, вы не знаете, на каком сайте вы сканируете, если не проверяете сертификат.
+1 Хотя я сомневаюсь в целесообразности разрешения самозаверяющих сертификатов в целом, этот ответ был дан добросовестно и на самом деле полезен при извлечении с сервера разработки.
Стивен: Как это «добросовестно» говорить людям игнорировать сертификаты, даже если у них нет проблем с ними?
@ Espo: при программном сканировании сайта вполне может иметь смысл разрешить самозаверяющие сертификаты. Это особенно касается машин для разработки, которые не являются общедоступными и поэтому не заслуживают затрат на настоящий сертификат.
Не просто разработчики машин. Я работал несколько лет в компании, сканирующей новостные сайты, и мы решили добавить это, поскольку мы не могли контролировать, какие сайты добавляются в систему. Но я согласен, что прочитал слишком много в вопросе, и сожалею об этом.
@Mikael: Хороший вопрос, и никакого вреда не сделано.

Espo · Accepted Answer · 2009-08-10T18-03-00.000Z

Вам ничего не нужно менять, кроме URL-адреса, который должен начинаться с "https" вместо "http".

Правильно, поэтому у нас есть шаблон Request.Create ().