Burp Suite 是一款强大的代理工具,用于 Web 应用程序安全测试。它位于你的浏览器和目标 Web 服务器之间,允许你拦截、检查和修改双向传输的流量。
要检查经过加密的 HTTPS 流量,Burp Suite 必须对你自己的流量执行中间人(Man-in-the-Middle, MitM)攻击。它会中断与服务器的 TLS 连接,并与你的浏览器建立新的连接。为了让你的浏览器在不出现安全警告的情况下接受此新连接,它必须信任 Burp Suite 提供的证书。
在本实验中,你将学习如何将 Burp Suite 的独特证书颁发机构(CA)证书下载并安装到 Firefox 浏览器中。这是任何希望使用 Burp Suite 进行安全测试的人员必须掌握的基础设置步骤。
在此步骤中,你将启动 Burp Suite 和 Firefox,然后导航到一个特殊的 Burp Suite URL 以访问证书下载页面。实验环境中的 Firefox 已预先配置为使用 Burp Suite 作为其代理。
首先,你需要启动 Burp Suite。
Burp Suite 运行后,打开 Firefox 浏览器。
在两个应用程序都运行的情况下,在 Firefox 中打开一个新标签页,然后在地址栏输入以下地址,然后按 Enter:
http://burpsuite你应该会看到 Burp Suite 的欢迎页面。此页面直接由 Burp Suite 代理提供服务,并且只有在你的浏览器正确配置为使用它时才能访问。
在此步骤中,你将从刚刚打开的欢迎页面下载 Burp CA 证书文件。
在 http://burpsuite 页面上,你会在右上角看到一个标有 "CA Certificate" 的链接。
浏览器将下载一个名为 cacert.der 的文件。默认情况下,它将被保存在 Downloads 目录中,该目录位于 /home/labex/Downloads。在接下来的步骤中,我们将需要此文件。
在此步骤中,你将通过 Firefox 设置打开证书管理器。这里是 Firefox 存储所有受信任证书的地方。
请在 Firefox 浏览器中仔细按照以下说明操作:
这将打开 "Certificate Manager" 窗口,其中包含 "Your Certificates"、"People"、"Servers" 和 "Authorities" 等多个标签页。
在此步骤中,你将导入之前下载的 cacert.der 文件。由于此证书充当证书颁发机构 (CA),因此必须将其导入到 "Authorities" 选项卡中。
在你上一步打开的 "Certificate Manager" 窗口中:
~/project 目录中打开。你需要导航到保存证书的 Downloads 目录。点击左侧窗格中的 Downloads。cacert.der 文件。点击 "Open" 后,会弹出一个新的对话框,要求你设置此证书的信任级别。我们将在下一步进行配置。
这是最后也是最重要的一步。你必须明确告知 Firefox 信任导入的证书用于识别网站。这使得 Burp Suite 能够拦截 HTTPS 流量而不会导致浏览器错误。
在上一步选择 cacert.der 文件后,会弹出一个标题为 "Downloading Certificate" 的对话框。它会要求你为 "PortSwigger CA" 设置信任设置。
证书现已安装。你应该能在证书管理器的 "Authorities" 选项卡中看到 "PortSwigger" 列为证书颁发机构。
你已成功安装 Burp CA 证书!
在此实验中,你已完成一项使用 Burp Suite 的关键设置任务。你成功启动了 Burp Suite,使用 Firefox 下载了其独特的 CA 证书,并将该证书导入到浏览器的信任存储中。
通过信任 PortSwigger CA,你已配置 Firefox 允许 Burp Suite 作为中间人,从而能够为了安全测试目的拦截、查看和修改加密的 HTTPS 流量。这项技能对于任何从事 Web 应用程序安全工作的人来说都是基础。恭喜你完成此实验!