我是网络测试的新手。我有个问题。请建议
说,我有一个https网址,我已经设置了所有要通过burp代理配置访问的http请求。在一般情况下,如果我们从像firefox这样的客户端访问url,我们知道我们可能会遇到多个域的安全例外,我们需要为每个域添加安全例外。一旦跨越安全异常,我们就可以访问url,用户名和密码可以通过burp访问(通过设置拦截到ON)。
1)如果我们在为多个域添加安全例外后能够访问Web应用程序,那么这是否意味着Web应用程序未正确处理安全问题?
2)此外,如果客户端喜欢firefox或运行Web应用程序的服务器需要处理此类安全问题吗?
答案 0 :(得分:2)
您所谈论的内容会影响您的网络浏览器,并不表示您正在查看的网络应用中的安全配置。由于burp代理SSL,因此需要使用证书进行响应以查看流量。否则,您只会隧道化您无法拦截和查看的加密流量。
您的浏览器发现证书对您尝试访问的网站无效,并向您显示警告。
通过配置Burp的CA证书,您可以避免每次都添加安全性异常。说明在这里:https://portswigger.net/burp/help/proxy_options_installingCAcert.html
基本上,您将在配置为通过burp代理时浏览到http://burp。在这里,您将下载证书,然后您将按照上面的链接说明导入您的浏览器。
玩得开心。