LabEx
LoginBeitreten

SSL Passthrough in Burp Suite konfigurieren

Beginner
Jetzt üben

Einleitung

Burp Suite ist eine leistungsstarke Plattform für das Testen der Sicherheit von Webanwendungen. Eine seiner Kernfunktionen ist der abfangende Proxy, der es Ihnen ermöglicht, den Datenverkehr zwischen Ihrem Browser und einem Webserver zu inspizieren und zu modifizieren. Manchmal möchten Sie jedoch verhindern, dass Burp den Datenverkehr zu bestimmten Hosts abfängt. Dies kann geschehen, um Anwendungen, die Certificate Pinning verwenden, nicht zu beeinträchtigen, die Leistung durch Ignorieren von hochvolumigem Datenverkehr von vertrauenswürdigen Domains zu verbessern oder einfach, um sich auf Ihre Zielanwendung zu konzentrieren.

Hier kommt SSL Passthrough ins Spiel. Diese Funktion weist Burp Suite an, verschlüsselten (TLS/SSL) Datenverkehr direkt an den Zielserver weiterzuleiten, ohne zu versuchen, ihn zu entschlüsseln oder abzufangen.

In diesem Lab lernen Sie, wie Sie eine SSL Passthrough-Regel in Burp Suite konfigurieren, um alle Google-Domains vom Abfangen auszuschließen. Die Laborumgebung verfügt über eine vorinstallierte Burp Suite Community Edition, und der Browser ist vorkonfiguriert, um den Burp-Proxy zu verwenden.

In diesem Schritt starten Sie Burp Suite und navigieren zu den SSL Passthrough-Einstellungen. Alle Aktionen finden innerhalb der VNC-Desktopumgebung statt.

Starten Sie zuerst Burp Suite:

  1. Klicken Sie im Menü oben links auf dem Bildschirm auf "Applications".
  2. Navigieren Sie zu Other -> Burp Suite Community Edition.

Ein Dialogfeld wird angezeigt. Für dieses Lab können Sie einfach ein temporäres Projekt verwenden:

  1. Lassen Sie Temporary project ausgewählt und klicken Sie auf Next.
  2. Klicken Sie auf dem nächsten Bildschirm auf Use Burp defaults und dann auf Start Burp.

Sobald Burp Suite geöffnet ist, müssen Sie die SSL Passthrough-Einstellungen finden.

  1. Klicken Sie auf den Tab Proxy.
  2. Klicken Sie innerhalb des Proxy-Tabs auf den Unter-Tab Options.
  3. Scrollen Sie auf der Optionsseite nach unten, bis Sie den Abschnitt mit der Überschrift SSL Passthrough finden.

Sie befinden sich nun an der richtigen Stelle, um eine neue Regel hinzuzufügen.

Klicken Sie auf 'Add', um eine neue Regel zu erstellen

In diesem Schritt initiieren Sie den Prozess zum Hinzufügen einer neuen SSL Passthrough-Regel.

Der Abschnitt SSL Passthrough ermöglicht es Ihnen, Ziele anzugeben, für die Burp keine TLS-Interzeption durchführt. Alle Anfragen an diese Ziele werden direkt an den Server weitergeleitet, und ihr Inhalt ist in der Proxy-Historie nicht sichtbar.

Klicken Sie zunächst auf die Schaltfläche Add im Abschnitt SSL Passthrough.

Nachdem Sie auf Add geklickt haben, erscheint ein neues Dialogfeld mit dem Titel "Add SSL Passthrough rule". In diesem Dialogfeld geben Sie die Details des Hosts an, den Sie von der Interzeption ausschließen möchten.

Geben Sie einen Hostnamen ein, den Sie nicht abfangen möchten (z. B. *.google.com)

In diesem Schritt definieren Sie den spezifischen Host oder die Domain, die von der Interzeption ausgeschlossen werden soll.

Im Dialogfeld "Add SSL Passthrough rule", das Sie im vorherigen Schritt geöffnet haben, sehen Sie ein Feld mit der Bezeichnung Host or IP range. Hier geben Sie das Ziel ein, das Sie umgehen möchten.

Sie können Platzhalter (*) verwenden, um alle Subdomains einer bestimmten Domain abzugleichen. Dies ist sehr nützlich für große Dienste wie Google, die viele verschiedene Subdomains verwenden (z. B. www.google.com, mail.google.com, apis.google.com).

Geben Sie im Feld Host or IP range den folgenden Wert ein:

*.google.com

Nachdem Sie den Hostnamen eingegeben haben, klicken Sie auf die Schaltfläche OK, um die Regel zu speichern. Das Dialogfeld wird geschlossen, und Sie sehen Ihre neue Regel in der Liste SSL Passthrough.

Regel aktivieren

In diesem Schritt aktivieren Sie die neu erstellte SSL Passthrough-Regel.

Standardmäßig wird eine neu hinzugefügte Regel im deaktivierten Zustand erstellt. Sie müssen sie explizit aktivieren, damit sie wirksam wird. Sie sehen Ihre neue Regel für *.google.com in der Liste, aber das Kontrollkästchen in der Spalte Enabled ist derzeit nicht aktiviert.

Um die Regel zu aktivieren, klicken Sie einfach auf das Kontrollkästchen in der Spalte Enabled neben dem Eintrag *.google.com.

Sobald das Feld aktiviert ist, ist die Regel aktiv. Burp Suite leitet nun automatisch jeglichen TLS-Verkehr, der für eine Subdomain von google.com bestimmt ist, ohne Interzeption weiter.

In diesem letzten Schritt testen Sie die SSL Passthrough-Regel, indem Sie eine Google-Domain aufrufen und die Proxy-Historie beobachten.

Navigieren Sie zuerst zum Proxy-Verlaufsprotokoll in Burp Suite:

  1. Stellen Sie sicher, dass Sie sich immer noch auf dem Tab Proxy befinden.
  2. Klicken Sie auf den Unter-Tab HTTP history. Dieses Protokoll zeigt den gesamten Traffic an, der durch den Burp-Proxy geleitet wird.

Öffnen Sie als Nächstes den Webbrowser in der VNC-Umgebung:

  1. Klicken Sie auf das Menü "Applications".
  2. Navigieren Sie zu Internet -> Firefox.

Geben Sie in die Adressleiste von Firefox https://www.google.com ein und drücken Sie Enter. Die Google-Startseite sollte normal geladen werden.

Wechseln Sie nun zurück zu Burp Suite und schauen Sie sich den Tab HTTP history an. Sie werden feststellen, dass keine Einträge für www.google.com vorhanden sind, die die Details des Seitenaufrufs anzeigen (wie GET /, GET /some-image.png usw.). Möglicherweise sehen Sie einen einzelnen Eintrag wie CONNECT www.google.com:443, was die anfängliche Verbindungsherstellung ist, aber die verschlüsselten Anwendungsdaten selbst sind "durchgeleitet" worden, ohne protokolliert zu werden.

Um zu bestätigen, dass der Proxy für andere Websites weiterhin funktioniert, kehren Sie zu Firefox zurück und navigieren Sie zu http://example.com. Überprüfen Sie nun erneut die HTTP history in Burp. Sie sehen die vollständige Anfrage und Antwort für example.com, was beweist, dass Ihre Passthrough-Regel spezifisch für Google ist.

Zusammenfassung

In diesem Lab haben Sie die SSL Passthrough-Funktion in Burp Suite erfolgreich konfiguriert und getestet.

Sie haben gelernt, wie Sie:

  • Zu den SSL Passthrough-Einstellungen in den Proxy-Optionen von Burp Suite navigieren.
  • Eine neue Regel hinzufügen, um eine bestimmte Domain auszuschließen, wobei ein Wildcard (*.google.com) verwendet wird, um alle ihre Subdomains abzudecken.
  • Die Regel aktivieren, um sie wirksam zu machen.
  • Überprüfen, ob die Regel funktioniert, indem Sie beobachten, dass der Traffic zur angegebenen Domain nicht mehr abgefangen und im HTTP-Verlauf protokolliert wird, während der Traffic zu anderen Domains unbeeinflusst bleibt.

Die Beherrschung dieser Funktion hilft Ihnen, einen effizienteren und fokussierteren Workflow während Ihrer Sicherheitsbewertungen von Webanwendungen zu erstellen.