今天打算做一次投票系统的漏洞测试,在进行测试之前,先将Burp抓包HTTPS的方法配置好。
目录:
1、Burp Suite下载安装与配置Https抓包的方法
2、安装以后,Burp Suite抓取不到数据包的解决方法
1.1、下载安装Burp:
下载安装Burp的教程 [1].Burp_suite的下载安装与使用教程
1.2、Burp配置Https抓包的方法:
1、安装好上述连接的Burp后,启动Burp Suite 如果不会启动,可以参考我之前写的 [1].编写一个bat文件启动Burp Suite
2、访问http://localhost:8080/ 如下 ( burp占用默认端口号为8080 ),并点击CA Certificate下载证书: 3、进入Chrome,打开设置
4、打开隐私设置和安全性,打开安全
5、打开“管理证书” 6、进入“受信任的根证书颁发机构” 选项
7、找到下载好的cacert.der文件,导入证书中(如果找不到cacert.der文件,左下角选择所有文件即可)
8、选择将所有的证书都放入下列存储
9、弹出安全警告,选择“是”
10、安装成功弹出提示,确定即可 11、点击“导入”,导入刚刚下载的证书,完成后将出现PortSwigger CA;导出证书至本地 12、选择DER 编码二进制(由拓展名.der,知道证书是用二进制DER编码的证书) 13、选择合适的文件夹
14、导出成功、弹出提示
15、可以成功爬取https网站
安装以后,Burp Suite抓取不到数据包的解决方法:
在安装了Burp Suite尝试抓取数据报的时候,遇到了抓不到数据包的情况。经过查阅,发现这主要是由于一下2种情况造成的:
1、 使用某一浏览器访问网页时,没有将Burp Suite设置为该浏览器的中间代理,所以数据包越过Burp Suite直接发送到了网站服务器上;
2、 使用某一浏览器访问网页时,该浏览器的代理端口不是8080,虽然Burp Suite对浏览器进行了代理,但是数据包没有从8080发出,从其它端口如80端口发出,所以在8080端口守株待兔的Burp Suite根本没有遇见数据包,自然也就抓不到数据包这只兔子。
参考:
【1】.Burp Suite抓HTTPS数据包(通用)二、配置HTTPS抓包方法【以Firefox为例】
【2】.【Burp_suite】安装及使用教程(专业版)