LabEx
EntrarJunte-se

Configurar SSL Passthrough no Burp Suite

Beginner
Pratique Agora

Introdução

O Burp Suite é uma plataforma poderosa para testes de segurança de aplicações web. Uma das suas funcionalidades principais é o proxy de interceção, que permite inspecionar e modificar o tráfego entre o seu navegador e um servidor web. No entanto, por vezes, pode querer impedir que o Burp intercete tráfego para determinados hosts. Isto pode ser para evitar quebrar aplicações que utilizam "certificate pinning", para melhorar o desempenho ignorando tráfego de alto volume de domínios confiáveis, ou simplesmente para se concentrar na sua aplicação alvo.

É aqui que entra o SSL Passthrough. Esta funcionalidade instrui o Burp Suite a passar o tráfego encriptado (TLS/SSL) diretamente para o servidor de destino, sem tentar desencriptá-lo ou intercetá-lo.

Neste laboratório, aprenderá a configurar uma regra de SSL Passthrough no Burp Suite para excluir todos os domínios do Google da interceção. O ambiente de laboratório tem o Burp Suite Community Edition pré-instalado e o navegador está pré-configurado para utilizar o proxy do Burp.

Navegar para Proxy > Opções > SSL Passthrough

Nesta etapa, você iniciará o Burp Suite e navegará até as configurações de SSL Passthrough. Todas as ações ocorrerão dentro do ambiente de desktop VNC.

Primeiro, inicie o Burp Suite:

  1. Clique no menu "Applications" no canto superior esquerdo da tela.
  2. Navegue para Other -> Burp Suite Community Edition.

Uma caixa de diálogo aparecerá. Para este laboratório, você pode simplesmente usar um projeto temporário:

  1. Deixe Temporary project selecionado e clique em Next.
  2. Na tela seguinte, clique em Use Burp defaults e, em seguida, clique em Start Burp.

Assim que o Burp Suite estiver aberto, você precisará encontrar as configurações de SSL Passthrough.

  1. Clique na aba Proxy.
  2. Dentro da aba Proxy, clique na sub-aba Options.
  3. Role a página de opções para baixo até encontrar a seção intitulada SSL Passthrough.

Agora você está no local correto para adicionar uma nova regra.

Clique em 'Add' para Criar uma Nova Regra

Nesta etapa, você iniciará o processo de adição de uma nova regra de SSL Passthrough.

A seção SSL Passthrough permite que você especifique destinos para os quais o Burp não realizará a interceção de TLS. Quaisquer requisições para esses destinos serão passadas diretamente para o servidor, e seus conteúdos não serão visíveis no histórico do proxy.

Para começar, localize o botão Add dentro da seção SSL Passthrough e clique nele.

Após clicar em Add, uma nova caixa de diálogo intitulada "Add SSL Passthrough rule" aparecerá. Esta caixa de diálogo é onde você especificará os detalhes do host que deseja excluir da interceção.

Insira um Nome de Host que Você Não Deseja Interceptar (por exemplo, *.google.com)

Nesta etapa, você definirá o host ou domínio específico a ser excluído da interceção.

Na caixa de diálogo "Add SSL Passthrough rule" que você abriu na etapa anterior, você verá um campo rotulado Host or IP range. É aqui que você insere o destino que deseja contornar.

Você pode usar curingas (*) para corresponder a todos os subdomínios de um domínio específico. Isso é muito útil para serviços grandes como o Google, que usam muitos subdomínios diferentes (por exemplo, www.google.com, mail.google.com, apis.google.com).

No campo Host or IP range, digite o seguinte valor:

*.google.com

Após inserir o nome do host, clique no botão OK para salvar a regra. A caixa de diálogo será fechada e você verá sua nova regra na lista SSL Passthrough.

Habilite a Regra

Nesta etapa, você ativará a regra de SSL Passthrough recém-criada.

Por padrão, quando você adiciona uma nova regra, ela é criada em um estado desabilitado. Você deve habilitá-la explicitamente para que ela tenha efeito. Você pode ver sua nova regra para *.google.com na lista, mas a caixa de seleção na coluna Enabled está atualmente desmarcada.

Para habilitar a regra, basta clicar na caixa de seleção na coluna Enabled ao lado da entrada *.google.com.

Uma vez que a caixa esteja marcada, a regra estará ativa. O Burp Suite agora passará automaticamente qualquer tráfego TLS destinado a qualquer subdomínio de google.com sem interceptá-lo.

Nesta etapa final, você testará a regra de SSL Passthrough navegando para um domínio do Google e observando o histórico do proxy.

Primeiro, navegue até o log de histórico do proxy no Burp Suite:

  1. Certifique-se de que você ainda está na aba Proxy.
  2. Clique na sub-aba HTTP history. Este log mostra todo o tráfego que passa pelo proxy do Burp.

Em seguida, abra o navegador web no ambiente VNC:

  1. Clique no menu "Applications".
  2. Navegue para Internet -> Firefox.

Na barra de endereços do Firefox, digite https://www.google.com e pressione Enter. A página inicial do Google deverá carregar normalmente.

Agora, volte para o Burp Suite e olhe para a aba HTTP history. Você notará que não há entradas para www.google.com mostrando os detalhes do carregamento da página (como GET /, GET /some-image.png, etc.). Você pode ver uma única entrada como CONNECT www.google.com:443, que é a configuração inicial da conexão, mas os dados criptografados da aplicação em si "passaram" sem serem registrados.

Para confirmar que o proxy ainda está funcionando para outros sites, volte para o Firefox e navegue para http://example.com. Agora verifique o HTTP history no Burp novamente. Você verá a solicitação e a resposta completas para example.com, provando que sua regra de passthrough é específica para o Google.

Resumo

Neste laboratório, você configurou e testou com sucesso o recurso de SSL Passthrough no Burp Suite.

Você aprendeu a:

  • Navegar até as configurações de SSL Passthrough nas opções de proxy do Burp Suite.
  • Adicionar uma nova regra para excluir um domínio específico, usando um curinga (*.google.com) para abranger todos os seus subdomínios.
  • Habilitar a regra para torná-la ativa.
  • Verificar se a regra está funcionando observando que o tráfego para o domínio especificado não é mais interceptado e registrado no histórico HTTP, enquanto o tráfego para outros domínios permanece inalterado.

Dominar este recurso ajudará você a criar um fluxo de trabalho mais eficiente e focado durante suas avaliações de segurança de aplicações web.