web-dev-qa-db-ja.com

SSL接続を許可するBurp構成

MozillaでBurpを使用してリクエスト/レスポンスをキャプチャしようとしています。 8080でBurpプロキシを構成し、Firefoxで同じプロキシ設定を設定しましたが、Gmailリンクを試行すると、Firefoxで「この接続は信頼できない」というエラーメッセージが表示されます。

HTTPSでも動作するGoogleのような他のページが許可されています。 Burpを実行してリクエスト/レスポンスをキャプチャできるように、これを手伝ってください。

2
harveyD

Gmailにアクセスすると、このエラーが発生します。別のブラウザーを試す以外、実際にできることは何もありません。

これは、Googleが証明書のピン留めを含めるオプションとともに実装したHSTS(HTTP Strict Transport Security)によるものです。つまり、この警告なしでサイトにアクセスするには、コンピューターが有効であると信じている証明書だけでなく、特にGoogleが有効だと言っている証明書が必要です。 Googleが固定した実際の証明書がないと、接続は信頼されません。

HTSTは一般的にヘッダーとして実装されているため、アクティブな中間者の場合は、ブラウザーに到達する前にヘッダーを削除(または少なくとも証明書ピンを含めないように変更)する可能性があります。 Googleのプロパティ(とりわけ)は、ChromeおよびFirefoxを含む一部のブラウザに付属するプリロードされたHSTSセットのpatであるため、Gmailで機能しません。とは、GmailがHTTPSと特定の固定された証明書を必要とするという知識を備えたブラウザーがプリインストールされていることを意味します。

そのため、別のブラウザーを試して、ブラウザーに到達する前にStrict-Transport-Security応答ヘッダーからピン留めされた証明書を削除して、プリロードされたGmailを持たないブラウザーでのMitMの機能に影響を与えないようにしてください。 HSTSリスト。

3
Xander

httpsの問題に対処するには、ブラウザにburp証明書を追加する必要があります。

まず、プロキシタブでオプションを選択し、burpから証明書をエクスポートして、どこかに保存します。

enter image description here

次に、ブラウザで昼食をとり、Chrome設定/環境設定/フードの下/証明書の管理/信頼されたルート証明書のautorithyタブに移動し、[インポート]ボタンをクリックします。

enter image description here

その後、Chromeを再起動する必要があるかもしれません

firefoxの場合も同じ操作を行うことができますが、げっぷ証明書を取得するには、次のURLにアクセスします:// burp/cert。 enter image description here 次に、options> advenced> certificats> display certif> autorithyに移動し、burp certifをアップロードします。

その後、Firefoxを再起動して再試行します。

enter image description here

2
Badr Bellaj

SSLトラフィックをインターセプトする場合は、burp CA証明書をインストールする必要があります。詳細は burp docs を参照してください。

1
octagonC