0


BurpSuite安装与浏览器导入证书

目录


前言

Burp Suite是一个用于测试网络应用程序安全性的图形化工具,如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版(只有基本功能)、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外,该工具还包含更高级的选项,如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

模块介绍

常用模块介绍如下

  • HTTP代理:它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。

  • Scanner:一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。

  • Intruder:对web应用程序进行自动化攻击

  • Repeater:一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果。

  • Decoder:编码解码工具

Burp安装

burp配置与jdk环境安装

burp的使用需要jdk环境,新版的burp需jdk版本大于11

  • JDK 13

  • burp 2022.9.1

burp配置

下载安装包后新增burp.bat文件,用于启动burp

java -javaagent:ja-netfilter.jar --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -jar burpsuite_pro_v2022.9.1.jar

Java环境安装

  1. 安装jdk13

下载地址:Java Archive Downloads - Java SE 13

首次激活

将burp中的所有文件复制到burp中的jdk目录中

双击burp.bat启动burp和ddosi.org.vbs,启动burp和license加载器

如下

复制过去点击next

点击Manual actication

如下操作

点击next

出现Success说明成功,最后点击Finish进入到burp

根据页面提示,点击next —> Start Burp

调整burp字体

然后把字体改成14或者12,这样能解决光标一放到http请求体中,字体见间距就变大的问题(高清屏下的问题)

浏览器配置

设置代理端口

可以通过浏览器自带的代理进行代理设置,或者是通过代理插件来设置代理

浏览器中点击设置—网络设置

设置代理服务器和端口,与burp中的监听端口相对应

导入Burp证书

当我们挂了burp代理但是没有导入证书的话,我们抓取https网站流量的包会显示不安全,如下这样

Chrome浏览器导入证书

  1. 下载证书

挂上bp代理,地址栏输入 127.0.0.1:8080,将证书下载下来保存为.cer结尾的文件

  1. 导入证书

地址栏输入

chrome://settings/security

选择管理证书

选择受信任的根证书颁发机构,将保存的证书导入就行,然后关闭浏览器重新访问百度,发现可以正常访问了

安装代理插件

Chrome默认使用的是系统全局代理,这样很不方便抓包。我们只想chrome浏览器的流量转到burp,所以使用代理插件

  1. SwitchyOmega_Chromium

下载地址 ->chrome代理

  1. 导入插件

选择如下

将开发者模式打开如下

  1. 将下载的代理文件解压,然后将整个文件夹托进行,然后配置一下就可以了

配置好后如下

Firefox导入证书

  1. 下载证书

地址栏输入 http:burp,下载证书,保存为.cert

  1. 导入证书

地址栏输入

about:preferences#searchResults

搜索证书

点击导入

勾选信任

导入之后,关闭浏览器,重新打开就可以了。

如果有时候火狐浏览器访问https的网站显示对等端的证书有一个无效的签名而访问失败,则是证书坏了,重新按照上面的步骤导入证书就行, 然后重启浏览器。

安装代理插件

也推荐使用“SwitchyOmega”

访问:

https://addons.mozilla.org/zh-CN/firefox/search/?q=SwitchyOmega

进行安装即可

标签: 网络安全

本文转载自: https://blog.csdn.net/2301_76334474/article/details/128806360
版权归原作者 百事都可樂. 所有, 如有侵权,请联系我们删除。

“BurpSuite安装与浏览器导入证书”的评论:

还没有评论