如何配置Burp Suite社区v1.7.36捕获HTTP和https流量?
测试环境:
遵循@PortSwigger令人惊叹的video,将浏览器配置为可与Burp配合使用,如下所示:
浏览器配置包括HTTP
,Secure
和FTP
的设置。
浏览器代理设置快照:
现在,当我手动尝试调用基于 http 的 url 时,例如http://testng.org/doc/maven
代理正确拦截了http GET
请求,我可以捕获以下内容:
GET /doc/maven.html HTTP/1.1
Host: testng.org
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://testng.org/doc/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: __utmz=37447461.1527604986.1.1.utmccn=(referral)|utmcsr=stackoverflow.com|utmcct=/|utmcmd=referral; __utmc=37447461; __utma=37447461.2068459366.1527604986.1535975911.1535984412.9; __utmb=37447461
Connection: close
但是当我尝试调用基于 https 的 url 时,例如https://www.facebook.com/
我正面临您的连接不是私有的页面。
尽管浏览器配置包括HTTP
和Secure
的设置,是否需要其他任何配置来访问启用了https
的站点?
答案 0 :(得分:0)
@PortSwigger的评论正确地解决了这个问题。
要配置 Burp Suite社区v1.7.36 来捕获http
和https
流量,您需要在documentation之后在浏览器中安装Burp的证书。
配置浏览器以使用Burp作为其代理,并配置Burp的代理侦听器以生成CA签名的每主机证书(这是默认设置)。然后使用下面的链接获取有关在不同浏览器中安装Burp的CA证书的帮助:
Chrome浏览器从您的主机提取证书信任存储。通过在计算机的内置浏览器(例如Windows上的Internet Explorer或OS X上的Safari)中安装Burp的CA证书,Chrome会自动使用该证书。
您可以通过Chrome设置> HTTPS / SSL访问系统证书信任库。或者,您可以按照内置浏览器的相关说明进行操作:
Windows:Internet Explorer >> Installing Burp's CA Certificate in Internet Explorer
为内置浏览器安装Burp CA证书后,重新启动Chrome,您应该能够通过Burp访问任何HTTPS URL,而不会出现任何安全警告。