LabEx
EntrarJunte-se

Instalar o Certificado CA do Burp no Firefox

Beginner
Pratique Agora

Introdução

O Burp Suite é uma poderosa ferramenta proxy utilizada para testes de segurança em aplicações web. Ele se posiciona entre o seu navegador e o servidor web alvo, permitindo que você intercepte, inspecione e modifique o tráfego que passa em ambas as direções.

Para inspecionar tráfego HTTPS, que é criptografado, o Burp Suite deve realizar um ataque man-in-the-middle (MitM) no seu próprio tráfego. Ele quebra a conexão TLS do servidor e estabelece uma nova com o seu navegador. Para que o seu navegador aceite esta nova conexão sem avisos de segurança, ele deve confiar no certificado apresentado pelo Burp Suite.

Neste laboratório, você aprenderá como baixar e instalar o certificado único da Autoridade Certificadora (CA) do Burp Suite no navegador Firefox. Este é um passo fundamental de configuração para qualquer pessoa que deseje usar o Burp Suite para testes de segurança.

Nesta etapa, você iniciará o Burp Suite e o Firefox, e então navegará para uma URL especial do Burp Suite para acessar a página de download do certificado. O Firefox do ambiente de laboratório está pré-configurado para usar o Burp Suite como seu proxy.

Primeiro, você precisa iniciar o Burp Suite.

  1. Clique no menu "Applications" no canto superior esquerdo da área de trabalho.
  2. Vá para "Other" e selecione "Burp Suite Community Edition".
  3. Uma caixa de diálogo aparecerá. Você pode deixar as configurações padrão ("Temporary project") e clicar em "Next".
  4. Outra caixa de diálogo aparecerá. Clique em "Start Burp".

Assim que o Burp Suite estiver em execução, abra o navegador Firefox.

  1. Clique no ícone do Firefox na barra de aplicativos na parte inferior da tela.

Com ambos os aplicativos em execução, abra uma nova aba no Firefox e digite o seguinte endereço na barra de endereços, em seguida, pressione Enter:

http://burpsuite

Você deverá ver a página de boas-vindas do Burp Suite. Esta página é servida diretamente do proxy do Burp Suite e só é acessível quando o seu navegador está corretamente configurado para usá-lo.

Baixar o Arquivo do Certificado CA

Nesta etapa, você baixará o arquivo do certificado CA do Burp a partir da página de boas-vindas que você acabou de abrir.

Na página http://burpsuite, você verá um link no canto superior direito rotulado como "CA Certificate".

  1. Clique no link CA Certificate.
  2. Uma caixa de diálogo de download de arquivo aparecerá. O Firefox perguntará o que fazer com o arquivo.
  3. Certifique-se de que a opção "Save File" (Salvar Arquivo) esteja selecionada e clique em "OK".

O navegador baixará um arquivo chamado cacert.der. Por padrão, ele será salvo no diretório Downloads, que está localizado em /home/labex/Downloads. Precisaremos deste arquivo nas próximas etapas.

Abrir o Gerenciador de Certificados do Firefox

Nesta etapa, você navegará pelas configurações do Firefox para abrir o Gerenciador de Certificados. É aqui que o Firefox armazena todos os seus certificados confiáveis.

Siga estas instruções cuidadosamente dentro do navegador Firefox:

  1. Clique no botão do menu do aplicativo (as três linhas horizontais) no canto superior direito da janela do Firefox.
  2. No menu suspenso, selecione Settings (Configurações).
  3. Na aba Settings (Configurações) que se abre, clique em Privacy & Security (Privacidade e Segurança) no painel de navegação à esquerda.
  4. Role até o final da página até encontrar a seção Certificates (Certificados).
  5. Clique no botão View Certificates... (Ver Certificados...).

Isso abrirá a janela "Certificate Manager" (Gerenciador de Certificados), que possui várias abas como "Your Certificates" (Seus Certificados), "People" (Pessoas), "Servers" (Servidores) e "Authorities" (Autoridades).

Importar o Certificado Baixado na Aba 'Authorities'

Nesta etapa, você importará o arquivo cacert.der que baixou anteriormente. Como este certificado atua como uma Autoridade Certificadora (CA), ele deve ser importado para a aba "Authorities" (Autoridades).

Na janela "Certificate Manager" (Gerenciador de Certificados) que você abriu na etapa anterior:

  1. Certifique-se de ter selecionado a aba Authorities (Autoridades).
  2. Clique no botão Import... (Importar...) localizado na parte inferior da janela.
  3. Uma caixa de diálogo "Open File" (Abrir Arquivo) aparecerá. Por padrão, ela pode abrir no diretório ~/project. Você precisa navegar até o diretório Downloads, onde o certificado foi salvo. Clique em Downloads no painel esquerdo.
  4. Selecione o arquivo cacert.der.
  5. Clique no botão Open (Abrir).

Após clicar em "Open" (Abrir), uma nova caixa de diálogo aparecerá, solicitando que você defina os níveis de confiança para este certificado. Configuraremos isso na próxima etapa.

Confiar na CA da PortSwigger para Websites

Esta é a etapa final e mais importante. Você deve dizer explicitamente ao Firefox para confiar no certificado importado para identificar websites. É isso que permite que o Burp Suite intercepte o tráfego HTTPS sem causar erros no navegador.

Após selecionar o arquivo cacert.der na etapa anterior, uma caixa de diálogo intitulada "Downloading Certificate" (Baixando Certificado) aparecerá. Ela solicitará que você defina as configurações de confiança para a "PortSwigger CA".

  1. Nesta caixa de diálogo, marque a caixa ao lado de Trust this CA to identify websites (Confiar nesta CA para identificar websites).
  2. Deixe a outra caixa ("Trust this CA to identify email users" - Confiar nesta CA para identificar usuários de e-mail) desmarcada.
  3. Clique no botão OK para salvar as configurações de confiança.

O certificado agora está instalado. Você deverá ver "PortSwigger" listado como uma autoridade certificadora na aba "Authorities" (Autoridades) do Gerenciador de Certificados.

  1. Clique em OK para fechar a janela do Gerenciador de Certificados.
  2. Agora você pode fechar a aba Settings (Configurações) no Firefox.

Você instalou com sucesso o certificado CA do Burp!

Resumo

Neste laboratório, você completou uma tarefa crítica de configuração para usar o Burp Suite. Você iniciou com sucesso o Burp Suite, usou o Firefox para baixar seu certificado CA exclusivo e importou esse certificado para o armazenamento de confiança do navegador.

Ao confiar na PortSwigger CA, você configurou o Firefox para permitir que o Burp Suite atue como um "man-in-the-middle" (homem no meio), permitindo que você intercepte, visualize e modifique o tráfego HTTPS criptografado para fins de teste de segurança. Essa habilidade é fundamental para qualquer pessoa que trabalhe com segurança de aplicações web. Parabéns por completar o laboratório!