0x00 背景
当使用burp进行拦截HTTPS流量时,往往需要在浏览器导入证书,对于刚刚接触burp的同学来说,查看官方文档是最好的帮助。仅以此文作为案例。
当导入的证书有问题的时候,会发现出现各种错误,例如浏览器出现HSTS错误、无法捕获到HTTPS流量等异常问题。
0x01 导入burp证书
默认情况下,当您通过Burp浏览HTTPS网站时,代理会为每个主机生成一个SSL证书,并由其自己的证书颁发机构(CA)证书签名。此CA证书是在Burp第一次运行时生成的,并存储在本地。要在HTTPS网站上最有效地使用Burp代理,您需要在浏览器中安装Burp的CA证书作为受信任的根。如果尚未执行此操作,则将浏览器配置为使用Burp作为其代理,并配置Burp的代理侦听器以生成CA签名的每主机证书(这是默认设置)。然后使用下面的链接获取有关在不同浏览器中安装Burp的CA证书的帮助
浏览器打开:http://burp/
点击【CA Certificate】, 然后点击该证书文件【cacert.der】,进行安装,如下图所示:
一定要选择是:【受信任的根证书颁发机构】
0x02 手机安装burp证书
您可能需要在移动设备上安装Burp的CA证书。首先,确保将移动设备配置为可与Burp Suite一起使用。然后使用下面的链接获取有关在移动设备上安装Burp的CA证书的帮助:
https://support.portswigger.net/customer/portal/topics/754329-mobile-devices/articles
- 配置iOS设备以使用Burp
- 配置Android设备以与Burp配合使用
- 配置Windows Mobile设备以使用Burp
- 在iOS设备上安装Burp的CA证书
- 在Android设备上安装Burp的CA证书
- 在Windows Mobile设备中安装Burp的CA证书
- 在OS X中创建临时无线网络
- 安装Burp Suite Mobile Assistant
- 配置Burp Suite移动助手
如果不习惯看英文,可以使用Chrome浏览器打开,然后选择翻译成中文,进行查看,如下图: