LabEx
EntrarÚnete

Instalar el Certificado CA de Burp en Firefox

Beginner
Practicar Ahora

Introducción

Burp Suite es una potente herramienta proxy utilizada para la prueba de seguridad de aplicaciones web. Se sitúa entre su navegador y el servidor web de destino, permitiéndole interceptar, inspeccionar y modificar el tráfico que pasa en ambas direcciones.

Para inspeccionar el tráfico HTTPS, que está cifrado, Burp Suite debe realizar un ataque man-in-the-middle (MitM) sobre su propio tráfico. Rompe la conexión TLS del servidor y establece una nueva con su navegador. Para que su navegador acepte esta nueva conexión sin advertencias de seguridad, debe confiar en el certificado presentado por Burp Suite.

En este laboratorio, aprenderá a descargar e instalar el certificado único de Autoridad de Certificación (CA) de Burp Suite en el navegador Firefox. Este es un paso de configuración fundamental para cualquiera que busque utilizar Burp Suite para pruebas de seguridad.

En este paso, iniciará Burp Suite y Firefox, y luego navegará a una URL especial de Burp Suite para acceder a la página de descarga del certificado. El Firefox del entorno de laboratorio está preconfigurado para usar Burp Suite como su proxy.

Primero, necesita iniciar Burp Suite.

  1. Haga clic en el menú "Applications" (Aplicaciones) en la parte superior izquierda del escritorio.
  2. Vaya a "Other" (Otro) y seleccione "Burp Suite Community Edition".
  3. Aparecerá un cuadro de diálogo. Puede dejar la configuración predeterminada ("Temporary project" - Proyecto temporal) y hacer clic en "Next" (Siguiente).
  4. Aparecerá otro cuadro de diálogo. Haga clic en "Start Burp" (Iniciar Burp).

Una vez que Burp Suite esté en ejecución, abra el navegador Firefox.

  1. Haga clic en el icono de Firefox en el dock de aplicaciones en la parte inferior de la pantalla.

Con ambas aplicaciones en ejecución, abra una nueva pestaña en Firefox y escriba la siguiente dirección en la barra de direcciones, luego presione Enter:

http://burpsuite

Debería ver la página de bienvenida de Burp Suite. Esta página se sirve directamente desde el proxy de Burp Suite y solo es accesible cuando su navegador está correctamente configurado para usarlo.

Descargar el Archivo del Certificado CA

En este paso, descargará el archivo del certificado CA de Burp desde la página de bienvenida que acaba de abrir.

En la página http://burpsuite, verá un enlace en la esquina superior derecha etiquetado como "CA Certificate" (Certificado CA).

  1. Haga clic en el enlace CA Certificate.
  2. Aparecerá un cuadro de diálogo de descarga de archivos. Firefox le preguntará qué hacer con el archivo.
  3. Asegúrese de que la opción "Save File" (Guardar Archivo) esté seleccionada y haga clic en "OK" (Aceptar).

El navegador descargará un archivo llamado cacert.der. Por defecto, se guardará en el directorio Downloads (Descargas), que se encuentra en /home/labex/Downloads. Necesitaremos este archivo en los próximos pasos.

Abrir el Gestor de Certificados de Firefox

En este paso, navegará por la configuración de Firefox para abrir el Gestor de Certificados. Aquí es donde Firefox almacena todos sus certificados de confianza.

Siga estas instrucciones cuidadosamente dentro del navegador Firefox:

  1. Haga clic en el botón del menú de la aplicación (las tres líneas horizontales) en la esquina superior derecha de la ventana de Firefox.
  2. En el menú desplegable, seleccione Settings (Configuración).
  3. En la pestaña Settings que se abre, haga clic en Privacy & Security (Privacidad y Seguridad) en el panel de navegación de la izquierda.
  4. Desplácese hasta el final de la página hasta que encuentre la sección Certificates (Certificados).
  5. Haga clic en el botón View Certificates... (Ver Certificados...).

Esto abrirá la ventana "Certificate Manager" (Gestor de Certificados), que tiene varias pestañas como "Your Certificates" (Sus Certificados), "People" (Personas), "Servers" (Servidores) y "Authorities" (Autoridades).

Importar el Certificado Descargado en la Pestaña 'Authorities'

En este paso, importará el archivo cacert.der que descargó anteriormente. Dado que este certificado actúa como una Autoridad de Certificación (CA), debe importarse en la pestaña "Authorities" (Autoridades).

En la ventana "Certificate Manager" (Gestor de Certificados) que abrió en el paso anterior:

  1. Asegúrese de haber seleccionado la pestaña Authorities.
  2. Haga clic en el botón Import... (Importar...) ubicado en la parte inferior de la ventana.
  3. Aparecerá un cuadro de diálogo "Open File" (Abrir Archivo). Por defecto, puede abrirse en el directorio ~/project. Necesita navegar hasta el directorio Downloads (Descargas) donde se guardó el certificado. Haga clic en Downloads en el panel izquierdo.
  4. Seleccione el archivo cacert.der.
  5. Haga clic en el botón Open (Abrir).

Después de hacer clic en "Open", aparecerá un nuevo cuadro de diálogo, preguntándole cómo configurar los niveles de confianza para este certificado. Configuraremos esto en el siguiente paso.

Confiar en la CA de PortSwigger para Sitios Web

Este es el paso final y más importante. Debe indicar explícitamente a Firefox que confíe en el certificado importado para identificar sitios web. Esto es lo que permite a Burp Suite interceptar el tráfico HTTPS sin causar errores en el navegador.

Después de seleccionar el archivo cacert.der en el paso anterior, aparecerá un cuadro de diálogo titulado "Downloading Certificate" (Descargando Certificado). Le pedirá que configure los ajustes de confianza para la "PortSwigger CA".

  1. En este cuadro de diálogo, marque la casilla junto a Trust this CA to identify websites (Confiar en esta CA para identificar sitios web).
  2. Deje desmarcada la otra casilla ("Trust this CA to identify email users" - Confiar en esta CA para identificar usuarios de correo electrónico).
  3. Haga clic en el botón OK para guardar la configuración de confianza.

El certificado ya está instalado. Debería ver "PortSwigger" listado como una autoridad de certificación en la pestaña "Authorities" (Autoridades) del Gestor de Certificados.

  1. Haga clic en OK para cerrar la ventana del Gestor de Certificados.
  2. Ahora puede cerrar la pestaña Settings (Configuración) en Firefox.

¡Ha instalado correctamente el certificado CA de Burp!

Resumen

En este laboratorio, ha completado una tarea de configuración crítica para usar Burp Suite. Ha lanzado Burp Suite con éxito, ha utilizado Firefox para descargar su certificado CA único y ha importado ese certificado en el almacén de confianza del navegador.

Al confiar en la CA de PortSwigger, ha configurado Firefox para permitir que Burp Suite actúe como un intermediario (man-in-the-middle), lo que le permite interceptar, ver y modificar el tráfico HTTPS cifrado con fines de pruebas de seguridad. Esta habilidad es fundamental para cualquier persona que trabaje en seguridad de aplicaciones web. ¡Felicidades por completar el laboratorio!