客户端无法协商ssl连接:没有共同的密码套件 - burp suite

时间:2016-11-28 13:03:16

标签: security penetration-testing burp security-testing

导入PortSwigger证书后,无法使用burp诉讼来篡改HTTPS请求。它提供了一个警报'客户端未能协商ssl连接:没有共同的密码套件&... ...因为它适用于http请求..我已经尝试过Internet Explorer,chrome,Mozilla和java 7和8但没有成功篡改请求

3 个答案:

答案 0 :(得分:1)

您需要检查SSL相关配置(项目选项> SSL)

  • 默认为"使用Java安装的默认协议和密码"。
  • 您可以将其更改为"使用自定义协议和密码"。使用SSLScan检查要测试的主机的受支持密码并配置相同的密码。
  • 如果仍然无效,您可以选择"允许不安全的重新协商"。(完成测试后,您可以恢复默认设置)。

答案 1 :(得分:1)

对于您而言,您是否尝试过从http://burp下载证书并导入它?如果它不起作用,请尝试导入/导出CA认证(Burp->代理->选项->导入/导出CA认证->保存),然后导入回到浏览器。

在Android上,由于在牛轧糖及更高版本中不再使用“传统”方式安装用户证书,因此对我而言,最简单的解决方案是将Burp CA安装到系统受信任的证书中。您可以转到Settings -> Security -> Trusted Credentials and viewing system CAs查看与Android设备捆绑在一起的所有系统CA。您将在浏览器捆绑中看到类似的CA。 适用于Android的受信任CA以特殊格式存储在/system/etc/security/cacerts中。如果我们具有root特权,则可以写入此位置并放入Burp CA(经过一些修改)。

生成和导入CA的确切步骤是here

答案 2 :(得分:-1)

我已经使用以下技术解决了这个问题

  1. 打西装

  2. 您可以看到代理标签

    2.1然后单击“选项”标签

    2.2在下面的页面列表中检查 SSL直通

  3. 在对话框中添加您的主机和端口号。

干杯... !!!你准备好了。