Chrome证书导入+BurpSuite爬取https示例

最新推荐文章于 2025-04-26 16:09:30 发布
最新推荐文章于 2025-04-26 16:09:30 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: 安全测试 文章标签: 安全测试 Burpsuite Chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhnma/article/details/114631462
版权

 

目录

 

前言

用BurpSuite、Chrome浏览器执行网站安全扫描

 

一、前置条件

已安装好BurpSuite、下载安装好Chrome、待测https网站

二、操作步骤

1.Chrome浏览器代理设置、BurpSuite证书导出

宿主机-我的电脑-Internet选项

连接-局域网设置

填写BurpSuite 所在虚拟机IP、端口

BurpSuite证书导出

方式一:在BurpSuite所在虚机导出

方式二:在宿主机上导出

打开Firefox,配置代理

输入BurpSuite所在虚机的IP地址和端口

firefox访问:http://192.168.43.143:8080/

点击 保存文件,会自动下载证书:

 

2.Chrome证书导入

 

3.BurpSuite爬取、导出报告

设置代理

选中--点Edit,配置监听所有请求

中断关闭

设置目标Target

通过宿主机的chrome访问目标网站,Burpsuite的SiteMap会自动记录访问到的网站

选中某网站-右键-添加到Scope

被选中的网站显示在Scope中

进入爬取界面

点击Spider is paused 按钮,则开始对scope中的网站进行爬取扫描

爬取结束后,进入Scanner,查看扫描结果,准备分析导出报告

选中上图需要导出的Issue 记录--右键--选中Report selected issues

next 保存,报告名 记得加后缀,比如.html

报告导出完成后打开,如下

 

使用burpsuite的其他经验

争取的方式应该是一个一个请求包去扫,去分析,命中率会比较高,一般只扫有参数的请求包

  • 1.首先是burp自带了检测CSRF的小工具,这个应该比较多人知道,不过CSRF是真的鸡肋。
    另外,前台的CSRF漏洞和后台的CSRF漏洞,从利用难度和影响范围来看,前台的CSRF漏洞往往比后台的CSRF高得多。
  • 2.挖掘越权漏洞或者重点对有提交参数的请求包进行测试的时候,可以利用burp中的analyze target帮助分析
  • 3.burp重放包之后,如果是跳304重定向,burp是可以选择跟踪这个重定向包的
  • 4.挖掘到XSS漏洞的时候,可以search一下set-cookie,看看所有cookie字段是否有设置httponly.
    另外需要注意的时,有时候服务器并不会校验全部的cookie字段

 

完毕~

总结

针对网站进行简单的安全扫描很容易,但对产生的问题能后深入解读并提出合理改进意见,还需要好好练习内功。

Chrome浏览器导入证书(谷歌浏览器导入burpsuite证书
墨痕诉清风的博客
08-31 1万+
输入地址:chrome://settings/security
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
Chrome浏览器导入Burp Suite证书
热门推荐
code_lab
06-04 6万+
chrome设置好代理之后Burp Suite 只能抓取http包,想要抓取https包还要在chrome安装Burp Suite的证书才可以正常抓取,百度了下竟然没有一篇能用的中文教程,真是浪费时间,我把我的添加证书的过程贴下来,供大家参考 在代理栏中打开 导入/导出 按钮 选择第一个选项并保存在本地 打开Chrome浏览器的设置选项,找到管理证书的按钮 在受信任一栏中选择导入,将刚才保存在本地的
BurpSuite安装/激活及配置、证书安装教程
最新发布
2401_87750298的博客
04-26 1544
BurpSuite入门级安装、配置全流程
Burpsuite证书Chrome浏览器导入
azhegps的博客
11-16 9079
chrome设置好代理之后Burp Suite 只能抓取http包,想要抓取https包还要在chrome安装Burp Suite的证书才可以正常抓取,百度了下竟然没有一篇能用的中文教程,真是浪费时间,我把我的添加证书的过程贴下来,供大家参考 在代理栏中打开 导入/导出 按钮  选择第一个选项并保存在本地  打开Chrome浏览器的设置选项,找到管理证书的按钮  在受信任一栏中选择导入,将...
物理机burpsuite抓包虚拟机以及Chrome导入burp证书
_Ex1st的博客
01-27 633
这里可以下载proxy switchomega插件,打开插件,新建一个profile,取名burpsuite,复制到虚拟机,点击manage certificates,这里和Windows的谷歌好像稍微有点不同。框中的位置改为此前burpsuite添加的IP和端口,点击apply changes。记录物理机的burpsuite抓包虚拟机谷歌浏览器和遇到的问题总结。点击burpsuite尝试抓包,随便开一道题测试。打开主机的burpsuite,点击。点击import,导入证书即可。再测试一下,即可顺利抓包。
chrome网页证书添加_Chrome浏览器导入Burp Suite证书实现抓包
weixin_26806355的博客
02-06 968
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。从网站下载社区版之后,安装完成设置代理,总出现网页不能打开。在网上搜了很多遍,可能由于Chrome版本问题,上网问题没能得到解决。今天 终于解决了。截图把过程说一下,...
渗透学习笔记(十一)Burp Suite 总结
u012853375的博客
12-30 1941
前面我们学习了powershell的基础,其实我们在学习的时候,不可能一篇文章或者一个视频就可以把所有知识学到的,在了解到这个方面的知识后,多去查资料,最好的阅读官方文档,在使用中学习是最好的。这一章学习一个非常重要的工具 burp suite 这个是我们学习渗透测试必不可少的神器。
使用 mitmproxy + python 做拦截代理
墨鱼菜鸡
07-11 4147
From:https://blog.wolfogre.com/posts/usage-of-mitmproxy https://www.cnblogs.com/H4ck3R-XiX/p/12624072.htmlhttp://www.cnblogs.com/grandlulu/p/9525417.html mitmProxy 介绍:https:/...
红队专题-漏洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1140
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
sgmllib安全性考量:爬虫开发中不可或缺的安全策略
[sgmllib安全性考量:爬虫开发中不可或缺的安全策略](https://opengraph.githubassets.com/9c710c8e0be4a4156b6033b6dd12b4a468cfc46429192b7477ed6f4234d5ecd1/mattheww/sgfmill) # 1. 爬虫与网络安全性基础 随着...
Chrome浏览器导入Burp Suite证书实现抓包
stliu_hbjd的博客
04-05 7272
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 从网站下载社区版之后,安装完成设置代理,总出现网页不能打开。在网上搜了很多遍,可能由于Chrome版本问题,上网问题没能得到解决。 今天 终于解决了。截图把过程说一...
如何在谷歌浏览器中导入证书
chromegw-com的博客
08-07 4021
如何在谷歌浏览器中导入证书 在谷歌浏览器中导入证书是提高网络安全性的关键步骤之一,特别是当您需要访问使用自签名证书或企业颁发证书的网站时。接下来就给大家分享如何在谷歌浏览器中导入证书,还不清楚怎么操作的小伙伴就一起看过来吧。
Firefox与Chrome浏览器导入burpsuite证书
总有人间一两风,填我十万八千梦
04-23 1万+
当我们挂了burp代理但是没有导入证书的话,我们抓取https网站流量的包会显示不安全,如下这样。
谷歌浏览器导入证书
qq_50247813的博客
03-31 1347
不同版本位置可能不一样(我的版本:版本 103.0.5060.53(正式版本) (64 位))导入证书证书存储选择个人。打开谷歌浏览器找到设置。往下滑找到管理证书按钮。
chrome浏览器 导入burp证书 失败 无法抓包
qq_43615820的博客
11-10 1904
chrome浏览器 导入burp证书 失败 无法抓包
BurpSuite抓取https请求包
m0_62207482的博客
12-27 2883
1.打开Firefox浏览器代理,使用BurpSuite接收拦截到的请求,在FireFox浏览器中输入http://burp/,点击CA Certificate下载证书。7.导入后找到ProtSwigger CA,导出为PortSwigger CA.cer文件。6.导入我们第一步下载的der文件,导入后一直点击下一步,出现导入成功弹窗即可。9.将此文件导入Chrome浏览器设置中管理证书的 受信任的根证书颁发机构中。8.在上一个步骤导出的位置中寻找导出成功的文件。2.打开Chrome浏览器,知道设置。
BurpSuiteChrome浏览器设置
weixin_54891028的博客
12-14 1346
BurpSuitechrome浏览器设置
burpsuite爬取视频
08-22
你可以使用Burp Suite来拦截和分析网络流量,但它并不是一个视频爬取工具。Burp Suite主要用于渗透测试和安全评估,用于检测和利用网络应用程序的漏洞。 如果你想爬取视频,可以考虑使用其他工具,比如Python中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值