LabEx
EntrerRejoindre

Configurer le SSL Passthrough dans Burp Suite

Beginner
Pratiquer maintenant

Introduction

Burp Suite est une plateforme puissante pour les tests de sécurité des applications web. L'une de ses fonctionnalités principales est le proxy d'interception, qui vous permet d'inspecter et de modifier le trafic entre votre navigateur et un serveur web. Cependant, il peut parfois être souhaitable d'empêcher Burp d'intercepter le trafic vers certains hôtes. Cela peut être pour éviter de casser des applications qui utilisent l'épinglage de certificats (certificate pinning), pour améliorer les performances en ignorant le trafic à haut volume provenant de domaines de confiance, ou simplement pour vous concentrer sur votre application cible.

C'est là qu'intervient le SSL Passthrough. Cette fonctionnalité indique à Burp Suite de transmettre le trafic chiffré (TLS/SSL) directement au serveur de destination sans tenter de le déchiffrer ou de l'intercepter.

Dans ce laboratoire, vous apprendrez à configurer une règle de SSL Passthrough dans Burp Suite pour exclure tous les domaines Google de l'interception. L'environnement de laboratoire dispose de Burp Suite Community Edition pré-installé et le navigateur est pré-configuré pour utiliser le proxy Burp.

Dans cette étape, vous allez lancer Burp Suite et accéder aux paramètres de SSL Passthrough. Toutes les actions se dérouleront dans l'environnement de bureau VNC.

Tout d'abord, lancez Burp Suite :

  1. Cliquez sur le menu "Applications" dans le coin supérieur gauche de l'écran.
  2. Naviguez vers Other -> Burp Suite Community Edition.

Une boîte de dialogue apparaîtra. Pour ce laboratoire, vous pouvez simplement utiliser un projet temporaire :

  1. Laissez Temporary project sélectionné et cliquez sur Next.
  2. Sur l'écran suivant, cliquez sur Use Burp defaults, puis cliquez sur Start Burp.

Une fois Burp Suite ouvert, vous devez trouver les paramètres de SSL Passthrough.

  1. Cliquez sur l'onglet Proxy.
  2. Dans l'onglet Proxy, cliquez sur le sous-onglet Options.
  3. Faites défiler la page d'options jusqu'à trouver la section intitulée SSL Passthrough.

Vous êtes maintenant au bon endroit pour ajouter une nouvelle règle.

Cliquez sur 'Add' pour créer une nouvelle règle

Dans cette étape, vous allez initier le processus d'ajout d'une nouvelle règle de SSL Passthrough.

La section SSL Passthrough vous permet de spécifier les destinations pour lesquelles Burp n'effectuera pas d'interception TLS. Toutes les requêtes vers ces destinations seront transmises directement au serveur, et leur contenu ne sera pas visible dans l'historique du proxy.

Pour commencer, localisez le bouton Add dans la section SSL Passthrough et cliquez dessus.

Après avoir cliqué sur Add, une nouvelle boîte de dialogue intitulée "Add SSL Passthrough rule" apparaîtra. C'est dans cette boîte de dialogue que vous spécifierez les détails de l'hôte que vous souhaitez exclure de l'interception.

Saisir un nom d'hôte que vous ne souhaitez pas intercepter (par exemple, *.google.com)

Dans cette étape, vous allez définir l'hôte ou le domaine spécifique à exclure de l'interception.

Dans la boîte de dialogue "Add SSL Passthrough rule" que vous avez ouverte à l'étape précédente, vous verrez un champ intitulé Host or IP range. C'est ici que vous saisissez la destination que vous souhaitez contourner.

Vous pouvez utiliser des caractères génériques (*) pour faire correspondre tous les sous-domaines d'un domaine particulier. Ceci est très utile pour les grands services comme Google, qui utilisent de nombreux sous-domaines différents (par exemple, www.google.com, mail.google.com, apis.google.com).

Dans le champ Host or IP range, tapez la valeur suivante :

*.google.com

Après avoir saisi le nom d'hôte, cliquez sur le bouton OK pour enregistrer la règle. La boîte de dialogue se fermera, et vous verrez votre nouvelle règle dans la liste SSL Passthrough.

Activer la règle

Dans cette étape, vous allez activer la règle SSL Passthrough nouvellement créée.

Par défaut, lorsque vous ajoutez une nouvelle règle, elle est créée dans un état désactivé. Vous devez l'activer explicitement pour qu'elle prenne effet. Vous pouvez voir votre nouvelle règle pour *.google.com dans la liste, mais la case à cocher dans la colonne Enabled n'est actuellement pas cochée.

Pour activer la règle, cliquez simplement sur la case à cocher dans la colonne Enabled à côté de l'entrée *.google.com.

Une fois la case cochée, la règle est active. Burp Suite transmettra désormais automatiquement tout trafic TLS destiné à un sous-domaine de google.com sans l'intercepter.

Dans cette dernière étape, vous allez tester la règle SSL Passthrough en naviguant vers un domaine Google et en observant l'historique du proxy.

Tout d'abord, accédez au journal de l'historique du proxy dans Burp Suite :

  1. Assurez-vous d'être toujours dans l'onglet Proxy.
  2. Cliquez sur le sous-onglet HTTP history. Ce journal affiche tout le trafic qui passe par le proxy de Burp.

Ensuite, ouvrez le navigateur web dans l'environnement VNC :

  1. Cliquez sur le menu "Applications".
  2. Naviguez vers Internet -> Firefox.

Dans la barre d'adresse de Firefox, tapez https://www.google.com et appuyez sur Entrée. La page d'accueil de Google devrait se charger normalement.

Revenez ensuite à Burp Suite et regardez l'onglet HTTP history. Vous remarquerez qu'il n'y a aucune entrée pour www.google.com affichant les détails du chargement de la page (comme GET /, GET /some-image.png, etc.). Vous pourriez voir une seule entrée comme CONNECT www.google.com:443, qui correspond à la configuration initiale de la connexion, mais les données de l'application chiffrées elles-mêmes ont "transité" sans être enregistrées.

Pour confirmer que le proxy fonctionne toujours pour d'autres sites, retournez à Firefox et naviguez vers http://example.com. Vérifiez à nouveau l'HTTP history dans Burp. Vous verrez la requête et la réponse complètes pour example.com, prouvant que votre règle de passage est spécifique à Google.

Résumé

Dans ce laboratoire, vous avez configuré et testé avec succès la fonctionnalité SSL Passthrough dans Burp Suite.

Vous avez appris à :

  • Naviguer vers les paramètres SSL Passthrough dans les options du proxy de Burp Suite.
  • Ajouter une nouvelle règle pour exclure un domaine spécifique, en utilisant un joker (*.google.com) pour couvrir tous ses sous-domaines.
  • Activer la règle pour la rendre effective.
  • Vérifier que la règle fonctionne en observant que le trafic vers le domaine spécifié n'est plus intercepté et enregistré dans l'historique HTTP, tandis que le trafic vers d'autres domaines reste inchangé.

La maîtrise de cette fonctionnalité vous aidera à créer un flux de travail plus efficace et ciblé lors de vos évaluations de sécurité des applications web.