使用Burp Suite做安全测试时,要抓取HTTPS的包的话,是需要有Burp Suite的CA证书的,否则浏览器不支持。
下面以BurpSuite2021.10.3为例,该版本发布于2021年12月2日,属于稳定版本,此版本BurpSuite处理HTTP/2响应的方式中修复了一个中等严重性的安全问题,这在某些情况下可能会引入XSS,并且提供了一个安全补丁,以及几个小错误修复。官网原文如下图所示:
1. 首先要把Burp Suite的CA证书下载到本地
Burp Suite是自带CA证书的,我总结了一下有两种方法把CA证书下载到本地 (1)通过浏览器访问https://burp,下载证书。 点右边的CA Certifcate即可下载
不过需要注意的是,必须让浏览器开了127.0.0.1:8080代理才可以,也就是要让Burp Suite能抓到浏览器的http包的情况下,才能访问到 https://burp。 然后在Chrome浏览器中,打开设置——>搜索代理——>打开计算机的代理设置——>打开使用代理服务器——>设置地址和端口——>保存,注意与上面BurpSuite设置保持一致! (2)还有种简单的方法,就是直接在Burp Suite上直接导出证书。 这里,直接输入cacert.der, 再Next 就ok了。 然后,在Burp Suite 的同级目录下会多出一个刚刚的cacert.der ,这就把CA证书导出来了。
2. 浏览器设置代理并导入CA证书
理由:需要把证书导入浏览器,让浏览器添加信任,后续的才能进行。 (1)以chrome为例 进入设置——搜索证书——再导入即可;根据向导,将证书放在“受信任的根证书颁发机构”。 在证书管理中查看,已经有该证书了,安装成功! (2)以Firefox为例(推荐) 选项——>搜索证书——>查看证书 在【证书颁发机构】中导入即可。 打开Firefox——应用程序菜单——扩展和主题——扩展——搜索框输入“proxy"——回车 将上图标记的两个附加组件添加到Firefox,下图中我的已添加。 按下图步骤设置 然后打开bp的代理 再打开BurpSuite,抓取https的包,就可以正常进行啦!哈哈哈
希望能帮到大家,看完记得“一键三连”(点赞、收藏加关注)。