LabEx
LoginBeitreten

Burp CA-Zertifikat in Firefox installieren

Beginner
Jetzt üben

Einleitung

Burp Suite ist ein leistungsstarkes Proxy-Tool, das für Sicherheitstests von Webanwendungen verwendet wird. Es sitzt zwischen Ihrem Browser und dem Ziel-Webserver und ermöglicht es Ihnen, den Datenverkehr in beide Richtungen abzufangen, zu inspizieren und zu modifizieren.

Um HTTPS-Verkehr zu inspizieren, der verschlüsselt ist, muss Burp Suite einen Man-in-the-Middle (MitM)-Angriff auf Ihren eigenen Datenverkehr durchführen. Es unterbricht die TLS-Verbindung vom Server und baut eine neue mit Ihrem Browser auf. Damit Ihr Browser diese neue Verbindung ohne Sicherheitswarnungen akzeptiert, muss er dem von Burp Suite präsentierten Zertifikat vertrauen.

In diesem Lab lernen Sie, wie Sie das einzigartige Certificate Authority (CA)-Zertifikat von Burp Suite in den Firefox-Browser herunterladen und installieren. Dies ist ein grundlegender Einrichtungsschritt für jeden, der Burp Suite für Sicherheitstests verwenden möchte.

In diesem Schritt starten Sie Burp Suite und Firefox und navigieren dann zu einer speziellen Burp Suite-URL, um auf die Zertifikats-Downloadseite zuzugreifen. Firefox in der Lab-Umgebung ist vorkonfiguriert, um Burp Suite als Proxy zu verwenden.

Zuerst müssen Sie Burp Suite starten.

  1. Klicken Sie im Menü "Applications" oben links auf dem Desktop.
  2. Gehen Sie zu "Other" und wählen Sie "Burp Suite Community Edition".
  3. Ein Dialogfeld wird angezeigt. Sie können die Standardeinstellungen ("Temporary project") beibehalten und auf "Next" klicken.
  4. Ein weiteres Dialogfeld wird angezeigt. Klicken Sie auf "Start Burp".

Sobald Burp Suite läuft, öffnen Sie den Firefox-Browser.

  1. Klicken Sie auf das Firefox-Symbol in der Anwendungsleiste am unteren Bildschirmrand.

Wenn beide Anwendungen laufen, öffnen Sie einen neuen Tab in Firefox und geben Sie die folgende Adresse in die Adressleiste ein, dann drücken Sie Enter:

http://burpsuite

Sie sollten die Burp Suite-Willkommensseite sehen. Diese Seite wird direkt vom Burp Suite-Proxy bereitgestellt und ist nur zugänglich, wenn Ihr Browser korrekt für dessen Verwendung konfiguriert ist.

Herunterladen der CA-Zertifikatsdatei

In diesem Schritt laden Sie die Burp CA-Zertifikatsdatei von der gerade geöffneten Willkommensseite herunter.

Auf der Seite http://burpsuite sehen Sie in der oberen rechten Ecke einen Link mit der Bezeichnung "CA Certificate".

  1. Klicken Sie auf den Link CA Certificate.
  2. Ein Dialogfeld zum Herunterladen von Dateien wird angezeigt. Firefox wird Sie fragen, was Sie mit der Datei tun möchten.
  3. Stellen Sie sicher, dass die Option "Datei speichern" ausgewählt ist, und klicken Sie auf "OK".

Der Browser lädt eine Datei namens cacert.der herunter. Standardmäßig wird sie im Verzeichnis Downloads gespeichert, das sich unter /home/labex/Downloads befindet. Wir werden diese Datei in den folgenden Schritten benötigen.

Firefox-Zertifikatmanager öffnen

In diesem Schritt navigieren Sie durch die Firefox-Einstellungen, um den Zertifikatmanager zu öffnen. Hier speichert Firefox alle seine vertrauenswürdigen Zertifikate.

Befolgen Sie diese Anweisungen sorgfältig im Firefox-Browser:

  1. Klicken Sie auf die Schaltfläche des Anwendungsmenüs (die drei horizontalen Linien) in der oberen rechten Ecke des Firefox-Fensters.
  2. Wählen Sie im Dropdown-Menü Settings (Einstellungen).
  3. Klicken Sie im geöffneten Einstellungs-Tab auf Privacy & Security (Datenschutz & Sicherheit) im linken Navigationsbereich.
  4. Scrollen Sie ganz nach unten auf der Seite, bis Sie den Abschnitt Certificates (Zertifikate) finden.
  5. Klicken Sie auf die Schaltfläche View Certificates... (Zertifikate anzeigen...).

Dadurch wird das Fenster "Certificate Manager" (Zertifikatmanager) geöffnet, das mehrere Tabs wie "Your Certificates" (Ihre Zertifikate), "People" (Personen), "Servers" (Server) und "Authorities" (Zertifizierungsstellen) enthält.

Importieren Sie die heruntergeladene Zertifikatsdatei in den Tab 'Authorities'

In diesem Schritt importieren Sie die zuvor heruntergeladene Datei cacert.der. Da dieses Zertifikat als Zertifizierungsstelle (CA) fungiert, muss es in den Tab "Authorities" importiert werden.

Im Fenster "Certificate Manager", das Sie im vorherigen Schritt geöffnet haben:

  1. Stellen Sie sicher, dass Sie den Tab Authorities ausgewählt haben.
  2. Klicken Sie auf die Schaltfläche Import... am unteren Rand des Fensters.
  3. Ein Dialogfeld "Open File" (Datei öffnen) wird angezeigt. Standardmäßig wird möglicherweise das Verzeichnis ~/project geöffnet. Sie müssen zum Verzeichnis Downloads navigieren, in dem das Zertifikat gespeichert wurde. Klicken Sie im linken Bereich auf Downloads.
  4. Wählen Sie die Datei cacert.der aus.
  5. Klicken Sie auf die Schaltfläche Open (Öffnen).

Nachdem Sie auf "Open" geklickt haben, erscheint ein neues Dialogfeld, in dem Sie die Vertrauensstufen für dieses Zertifikat festlegen können. Dies konfigurieren wir im nächsten Schritt.

Vertrauen Sie der PortSwigger CA für Websites

Dies ist der letzte und wichtigste Schritt. Sie müssen Firefox ausdrücklich anweisen, dem importierten Zertifikat für die Identifizierung von Websites zu vertrauen. Dies ermöglicht es Burp Suite, HTTPS-Datenverkehr abzufangen, ohne Browserfehler zu verursachen.

Nachdem Sie im vorherigen Schritt die Datei cacert.der ausgewählt haben, erscheint ein Dialogfeld mit dem Titel "Downloading Certificate" (Zertifikat herunterladen). Es wird Sie auffordern, die Vertrauenseinstellungen für die "PortSwigger CA" festzulegen.

  1. Aktivieren Sie in diesem Dialogfeld das Kontrollkästchen neben Trust this CA to identify websites (Dieser CA vertrauen, um Websites zu identifizieren).
  2. Lassen Sie das andere Kontrollkästchen ("Trust this CA to identify email users" - Dieser CA vertrauen, um E-Mail-Benutzer zu identifizieren) deaktiviert.
  3. Klicken Sie auf die Schaltfläche OK, um die Vertrauenseinstellungen zu speichern.

Das Zertifikat ist nun installiert. Sie sollten "PortSwigger" als Zertifizierungsstelle im Tab "Authorities" des Zertifikatmanagers sehen.

  1. Klicken Sie auf OK, um das Fenster "Certificate Manager" zu schließen.
  2. Sie können nun den Einstellungs-Tab in Firefox schließen.

Sie haben das Burp CA-Zertifikat erfolgreich installiert!

Zusammenfassung

In diesem Lab haben Sie eine kritische Einrichtung für die Verwendung von Burp Suite abgeschlossen. Sie haben Burp Suite erfolgreich gestartet, mit Firefox dessen eindeutiges CA-Zertifikat heruntergeladen und dieses Zertifikat in den Vertrauensspeicher des Browsers importiert.

Durch das Vertrauen in die PortSwigger CA haben Sie Firefox so konfiguriert, dass Burp Suite als Man-in-the-Middle agieren kann. Dies ermöglicht es Ihnen, verschlüsselten HTTPS-Datenverkehr zu Sicherheitszwecken abzufangen, anzuzeigen und zu modifizieren. Diese Fähigkeit ist grundlegend für jeden, der im Bereich der Webanwendungssicherheit tätig ist. Herzlichen Glückwunsch zum Abschluss des Labs!