Как настроить Burp Suite Community v1.7.36 для захвата трафика http и https в Windows 8?

Question

Как настроить Burp Suite Community v1.7.36 для захвата трафика http и https?

Тестовая среда:

• ОС : Windows 8 Pro
• Браузер : Google Chrome v68.0
• Прокси Burp : burpsuite_community_windows-x64_v1_7_36.exe

Следуя замечательному видео @ PortSwigger, настройте Браузер для работы с Burp следующим образом:

• Снимок конфигурации Burp:

• Конфигурация браузера включает в себя настройки HTTP, Secure и FTP.

• Снимок настроек прокси браузера:

Теперь, когда я вручную пытаюсь вызвать, запускаем http на основе url , например. http://testng.org/doc/maven Прокси правильно перехватывает запрос http GET, и я могу захватить следующее:

GET /doc/maven.html HTTP/1.1
Host: testng.org
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://testng.org/doc/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: __utmz=37447461.1527604986.1.1.utmccn=(referral)|utmcsr=stackoverflow.com|utmcct=/|utmcmd=referral; __utmc=37447461; __utma=37447461.2068459366.1527604986.1535975911.1535984412.9; __utmb=37447461
Connection: close

Но когда я пытаюсь вызвать https на основе url , например. https://www.facebook.com/ Я смотрю на Ваше соединение не является приватным страница.

Несмотря на то, что Конфигурация браузера содержит настройки для HTTP и Secure, есть ли какая-либо другая конфигурация, необходимая для доступа к сайтам с поддержкой https?

Answer 1

@ Комментарий PortSwigger был в правильном направлении, решая проблему.

Чтобы настроить Burp Suite Community v1.7.36 для захвата трафика http и https, вам необходимо установить сертификат Burp в браузере, следуя документации .

Steps

• Настройте браузер на использование Burp в качестве прокси-сервера и настройте прослушиватель прокси-сервера Burp для создания подписанных CA сертификатов для каждого хоста (это настройка по умолчанию). Затем воспользуйтесь ссылками ниже для получения справки по установке сертификата CA Burp в разных браузерах:

• Chrome

  • Браузер Chrome выбирает хранилище доверенных сертификатов с вашего хост-компьютера. Установив сертификат CA Burp во встроенный браузер вашего компьютера (например, Internet Explorer в Windows или Safari в OS X), Chrome автоматически использует этот сертификат.

  • Вы можете получить доступ к хранилищу доверенных сертификатов вашей системы в настройках Chrome> HTTPS / SSL. Или вы можете следовать соответствующим инструкциям для вашего встроенного браузера:

  • Windows: Internet Explorer >> Установка сертификата CA Burp в Internet Explorer

  • Когда для вашего встроенного браузера установлен сертификат Burp CA, перезапустите Chrome, и вы сможете просматривать любые URL-адреса HTTPS через Burp без каких-либо предупреждений безопасности.

• Internet Explorer

  • При работающем Burp перейдите на страницу http://burp в IE и нажмите ссылку "Сертификат CA", чтобы загрузить и сохранить свой сертификат CA Burp. Запишите, где вы сохранили сертификат Burp CA.
  • Вам будет предложено сообщение, нажмите «Сохранить». Файл «cacert.der» должен загрузиться.
  • Вам будет предложено другое сообщение, нажмите «Открыть», и появится окно «Сертификат».
  • Нажмите «Установить сертификат».
  • В диалоговом окне «Мастер импорта сертификатов» нажмите «Далее».
  • В мастере импорта сертификатов выберите «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор».
  • В окне «Выбор хранилища сертификатов» выберите «Доверенные корневые центры сертификации» и нажмите «ОК».
  • Завершите работу мастера, нажав «Далее», а затем «Готово».
  • Нажмите «Да» в предупреждении безопасности. Закройте все диалоговые окна и перезапустите IE (не нужно запускать с правами администратора).
  • Если все сработало, теперь вы сможете посещать любой HTTPS-URL через Burp без каких-либо предупреждений безопасности.