注意思路,burp提供的是der格式的证书,必须得先导入到浏览器,然后从浏览器在导出cer格式的证书
测试环境
一、burp介绍
请自行参阅https://portswigger.net/burp/
在使用Burp site对HTTPS进行拦截时他会提示,你的连接不是私密连接或此连接不信任等,这是由于通常情况下burp默认只抓HTTP的包,HTTPS因为含有证书,因而无法正常抓取,抓HTTPS数据包就需要设置可信证书。
二、配置
1、配置浏览器代理(目前支持:IE、Firefox、Chrome、Safari、IPhone、Android)
拿Chrome为例: 设置---->显示高级设置---->网络---->更改代理服务器设置
--->点击局域网设置
--->输入好后点击确定。
2、访问http://burp,下载burp的内置证书
--->下载之后
证书是cacert.der,后缀名是.der文件(证书的编码方式不一样),这个文件不是常规的.cer的证书文件,下面就是让浏览器信任我们刚才导出的证书。
3、导入证书
Chrome——设置——高级——HTTPS/SSL
--->点击管理证书,所有浏览器在安装PortSwiggerCA.crt证书时,必须安装到“受信任的根证书颁发机构”中
--->点击导入
--->下一步
--->下一步
--->下一步
--->点击完成
--->导入刚才的cacert.der文件,那么在服务器中就会存在“PortSwigger CA”这样的证书(burp的内置证书)、然后选中它进行导出
--->下一步
--->下一步
--->下一步
4、信任此证书
在证书机构中导入刚才的PortSwiggerCA.crt文件,并选择【信任使用此CA标识的网站】
--->点击导入
--->下一步
--->下一步
--->下一步
--->点击确定、然后重启下、就行了、测试下访问:https://www.baidu.com/
--->还有种方法:
--->打开Burp site
--->选择第一个选项并保存在本地
--->点击NEXT、然后找到证书导入Chrome就行了。
三、抓HTTPS包
访问https://www.baidu.com/
正常访问。
四、其他浏览器及客户端设置
方法类似上面的【三】
注:
所有浏览器在安装PortSwiggerCA.crt证书时,必须安装到“受信任的根证书颁发机构”中
如:Chrome
- 上一篇:CSRF跨站请求伪造详解
- 下一篇:美国指控朝鲜黑客盗窃13亿美元
猜你还喜欢
- 07-08九年专业安全团队承接渗透入侵维护服务
- 08-06SQLMAP的注入命令以及使用方法
- 08-03白帽故事汇:网络安全战士从来不是「男生」的专利
- 07-27编辑器漏洞手册
- 07-12web安全之如何全面发现系统后台
- 02-22常见Web源码泄露总结
- 07-25网站后台登陆万能密码
- 07-23破解emlog收费模板“Begin”
- 03-21黑客如何破解wifi密码
- 01-12批量检测SQL注入
- 最新文章
- 随机文章
-
- 渗透测试技术研究(二)信息收集 + 漏洞评估
- 渗透测试指南(三)社会工程学
- 渗透测试指南(四)有线无线网络利用
- python cms审计记录
- Windows 权限提升
- 图解利用虚函数过GS保护
- Enumy:一款功能强大的Linux后渗透提权枚举工具
- 《Web前端黑客技术揭秘》.pdf下载 带书签版
- 白帽子讲Web安全.pdf
- SQL注入攻击与防御(第2版).pdf
- Metasploit渗透测试指南.pdf 带书签版
- Metasploit渗透测试魔鬼训练营.pdf-完整版
- 树莓派渗透测试实战.pdf 带书签版
- PHP Web安全开发实战.pdf 带书签版
- [译] 渗透测试实战第三版(红队版).pdf 带书签板
- 常见的社会工程学攻击方式
- 社会工程学攻击的三个典例
- 社会工程学:关于一些信息收集的网站
- PHP开发安全问题总结
- 某租车系统Java代码审计之后台注入漏洞分析
- 热门文章
-
- 九年专业安全团队承接渗透入侵维护服务
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- Emlog黑客站模板“Milw0rm”发布
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑客怎样简单入侵别人手机,黑客是如何入侵手机的?
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
- 文章标签
-