LabEx
ВходРегистрация

Установка сертификата CA Burp в Firefox

Beginner
Практиковаться сейчас

Введение

Burp Suite — это мощный прокси-инструмент, используемый для тестирования безопасности веб-приложений. Он располагается между вашим браузером и целевым веб-сервером, позволяя перехватывать, проверять и изменять трафик, проходящий в обоих направлениях.

Для проверки HTTPS-трафика, который зашифрован, Burp Suite должен выполнить атаку "человек посередине" (man-in-the-middle, MitM) на ваш собственный трафик. Он разрывает TLS-соединение с сервером и устанавливает новое с вашим браузером. Чтобы ваш браузер принял это новое соединение без предупреждений безопасности, он должен доверять сертификату, представленному Burp Suite.

В этой лаборатории вы научитесь загружать и устанавливать уникальный сертификат центра сертификации (CA) Burp Suite в браузер Firefox. Это фундаментальный шаг настройки для всех, кто хочет использовать Burp Suite для тестирования безопасности.

Перейдите по адресу http://burpsuite в настроенном браузере

На этом шаге вы запустите Burp Suite и Firefox, а затем перейдете по специальному URL-адресу Burp Suite, чтобы получить доступ к странице загрузки сертификата. Firefox в лабораторной среде предварительно настроен на использование Burp Suite в качестве прокси.

Сначала вам нужно запустить Burp Suite.

  1. Нажмите на меню "Applications" в верхнем левом углу рабочего стола.
  2. Перейдите в "Other" и выберите "Burp Suite Community Edition".
  3. Появится диалоговое окно. Вы можете оставить настройки по умолчанию ("Temporary project") и нажать "Next".
  4. Появится еще одно диалоговое окно. Нажмите "Start Burp".

После запуска Burp Suite откройте браузер Firefox.

  1. Нажмите на значок Firefox в доке приложений в нижней части экрана.

При запущенных обоих приложениях откройте новую вкладку в Firefox и введите следующий адрес в адресную строку, затем нажмите Enter:

http://burpsuite

Вы должны увидеть приветственную страницу Burp Suite. Эта страница обслуживается непосредственно прокси Burp Suite и доступна только тогда, когда ваш браузер правильно настроен для его использования.

Загрузка файла сертификата CA

На этом шаге вы загрузите файл сертификата CA Burp с приветственной страницы, которую вы только что открыли.

На странице http://burpsuite в правом верхнем углу вы увидите ссылку с надписью "CA Certificate".

  1. Нажмите на ссылку CA Certificate.
  2. Появится диалоговое окно загрузки файла. Firefox спросит вас, что делать с файлом.
  3. Убедитесь, что выбран параметр "Save File" (Сохранить файл), и нажмите "OK".

Браузер загрузит файл с именем cacert.der. По умолчанию он будет сохранен в каталоге Downloads, который находится по адресу /home/labex/Downloads. Этот файл нам понадобится на следующих шагах.

Откройте менеджер сертификатов Firefox

На этом шаге вы перейдете по настройкам Firefox, чтобы открыть менеджер сертификатов. Здесь Firefox хранит все свои доверенные сертификаты.

Внимательно следуйте этим инструкциям в браузере Firefox:

  1. Нажмите кнопку меню приложения (три горизонтальные линии) в правом верхнем углу окна Firefox.
  2. В выпадающем меню выберите Settings (Настройки).
  3. На открывшейся вкладке "Settings" (Настройки) в левой панели навигации нажмите Privacy & Security (Конфиденциальность и безопасность).
  4. Прокрутите страницу до самого низа, пока не найдете раздел Certificates (Сертификаты).
  5. Нажмите кнопку View Certificates... (Просмотреть сертификаты...).

Откроется окно "Certificate Manager" (Менеджер сертификатов), которое содержит несколько вкладок, таких как "Your Certificates" (Ваши сертификаты), "People" (Люди), "Servers" (Серверы) и "Authorities" (Центры сертификации).

Импорт загруженного сертификата во вкладку "Authorities"

На этом шаге вы импортируете файл cacert.der, который вы загрузили ранее. Поскольку этот сертификат действует как Центр Сертификации (CA), его необходимо импортировать во вкладку "Authorities".

В окне "Certificate Manager", которое вы открыли на предыдущем шаге:

  1. Убедитесь, что выбрана вкладка Authorities (Центры сертификации).
  2. Нажмите кнопку Import... (Импорт...), расположенную в нижней части окна.
  3. Появится диалоговое окно "Open File" (Открыть файл). По умолчанию оно может открыться в каталоге ~/project. Вам нужно перейти в каталог Downloads, куда был сохранен сертификат. Нажмите на Downloads в левой панели.
  4. Выберите файл cacert.der.
  5. Нажмите кнопку Open (Открыть).

После нажатия "Open" появится новое диалоговое окно с запросом на установку уровней доверия для этого сертификата. Мы настроим это на следующем шаге.

Доверие PortSwigger CA для веб-сайтов

Это финальный и самый важный шаг. Вы должны явно указать Firefox доверять импортированному сертификату для идентификации веб-сайтов. Это позволяет Burp Suite перехватывать HTTPS-трафик без вызова ошибок в браузере.

После того как вы выбрали файл cacert.der на предыдущем шаге, появится диалоговое окно с заголовком "Downloading Certificate" (Загрузка сертификата). В нем будет предложено установить параметры доверия для "PortSwigger CA".

  1. В этом диалоговом окне установите флажок рядом с Trust this CA to identify websites (Доверять этому CA для идентификации веб-сайтов).
  2. Оставьте другой флажок ("Trust this CA to identify email users" - Доверять этому CA для идентификации пользователей электронной почты) снятым.
  3. Нажмите кнопку OK, чтобы сохранить настройки доверия.

Сертификат теперь установлен. Вы должны увидеть "PortSwigger" в списке центров сертификации на вкладке "Authorities" (Центры сертификации) в Менеджере сертификатов.

  1. Нажмите OK, чтобы закрыть окно "Certificate Manager" (Менеджер сертификатов).
  2. Теперь вы можете закрыть вкладку "Settings" (Настройки) в Firefox.

Вы успешно установили сертификат Burp CA!

Итоги

В этой лаборатории вы выполнили критически важную задачу настройки для использования Burp Suite. Вы успешно запустили Burp Suite, использовали Firefox для загрузки его уникального сертификата CA и импортировали этот сертификат в хранилище доверия браузера.

Доверившись PortSwigger CA, вы настроили Firefox, чтобы разрешить Burp Suite действовать как посредник (man-in-the-middle), что позволяет вам перехватывать, просматривать и изменять зашифрованный HTTPS-трафик в целях тестирования безопасности. Этот навык является фундаментальным для всех, кто работает в области безопасности веб-приложений. Поздравляем с завершением лаборатории!