BurpSuite的https代理原理

最新推荐文章于 2024-06-25 08:33:31 发布
最新推荐文章于 2024-06-25 08:33:31 发布
阅读量8.3k 收藏 10
点赞数 3
分类专栏: 信息安全 文章标签: ssl burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/write_down/article/details/78990182
版权
BurpSuite的基本原理是搭配浏览器使用的http代理。对于HTTP协议,与一般的HTTP代理原理相同。对于HTTPS,即使用SSL的安全HTTP协议,BurpSuite需要发起“中间人攻击”以获得HTTP消息明文。具体原理如下。






1. 无BurpSuite的HTTPS交互过程


    Client                          Server  
      | -----HTTPS(TCP443) Req------> |


      | <----- Certificate -----------|


  Verify Cert


      | <------SSL Negotiation------->|


      |<----Security Connection------>|


Client需要获取Server的公钥证书,并利用非对称密码算法协商对称密钥,实现后面http消息的机密性和完整性保护。SSL的设计是能够扛中间人攻击的,所以无法通过传统的中间人攻击实现https代理。






2. 有BurpSuite的HTTPS交互过程


BurpSuite的基本思路是伪装成目标https服务器,让浏览器(client)相信BurpSuite就是目标站点。为了达成目标,BurpSuite必须:(1)生成一对公私钥,并将公钥和目标域名绑定并封装为证书;(2)让浏览器相信此证书,即通过证书验证。所以, BurpSuite需要在操作系统添加一个根证书,这个根证书可以让浏览器信任所有BurpSuite颁发的证书。具体流程如下:


    Client                     BurpSuite                             Server
 
    |-----https(tcp 443) req------> |


                  Generate an certificate1 bound


                     with the target domain


    |<------ -certificate1---------->|


    |<-------SSL negotiation-------->|


    |<-----security connection------>|


                                     | -------https(tcp 443) req------->|


                                     |<-------certificate2------------->|


                                     |<----------SSL connection-------->|


                                     |<-------security connection------>|


之后,BurpSuite拥有了两套对称密钥,一套用于与client交互,另外一套与server交互,而在BurpSuite处可以获得https明文。





无花果树
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Burpsuite如何代理http流量与https流量
m0_73974640的博客
02-19 880
但两者最大的区别是一个加密一个不加密。但两者最大的区别是一个加密一个不加密。提示也可以在burp suite中代理HTTP流量与https流量。提示也可以在burp suite中代理HTTP流量与https流量。burpsuite 配置代理、浏览器安装代理插件。burpsuite 配置代理、浏览器安装代理插件。通过上章我们知道的当输入一个网站会显示拒绝连姐。通过上章我们知道的当输入一个网站会显示拒绝连姐。7至此浏览器代理https流量配置完成看效果。7至此浏览器代理https流量配置完成看效果。
burpsuite代理https
qq_42078965的博客
06-17 1537
文章转载:https://www.cnblogs.com/Wuser/p/12460236.html 步骤一 1、配置浏览器代理(目前支持:IE、Firefox、Chrome、Safari、IPhone、Android) 拿Chrome为例: 设置---->显示高级设置---->网络---->更改代理服务器设置 —>点击局域网设置 —>输入好后点击确定。 2、访问http://burp(也可替换为ip+代理端口),下载burp的内置证书 —>下载之后 证书是ca
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-25 2903
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
HTTPS连接过程以及中间人攻击劫持
热门推荐
我是黄大仙
05-09 1万+
HTTPS连接过程https协议就是http+ssl协议,如下图所示为其连接过程: 1.https请求 客户端向服务端发送https请求; 2.生成公钥和私钥 服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容; 3.返回公钥 服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等; 4.客户端
burpsuite 基本原理
weixin_45626840的博客
03-26 1652
burp 基本原理,正向代理原理
【常用工具】BurpSuite工作原理及入门
Fighting_hawk的博客
01-19 7738
1. 了解BurpSuite面板上Proxy、Spider、Decode的主要功能及用法; 2. 了解一些该软件上一些中英文翻译词汇。
Burpsuite抓取https请求
06-05
Burpsuite抓取HTTPS请求的详细步骤及原理Burpsuite是一款广泛使用的网络安全工具,主要用于测试Web应用程序的安全性。然而,默认情况下,Burpsuite只能捕获HTTP类型的网络请求,而无法处理加密的HTTPS请求。...
burp suite手册中文001
06-24
2. 在这里,你可以看到通过 Burp 代理的所有请求和响应,无论拦截模式是否开启。 3. 通过点击历史记录中的条目,你可以详细查看原始请求及服务器的响应,这有助于深入分析和调试。 **总结** Burp Proxy 是 Burp ...
抓包该报burpsuite
12-28
BurpSuite的核心功能之一是其强大的代理服务器,它能够拦截并修改HTTP和HTTPS通信。当用户通过Burp代理浏览网页时,所有网络流量都会经过这个代理,使得测试人员可以查看、分析、甚至修改网络请求和响应。 1. **抓...
关于burpsuite修改http包的http实验
03-27
1. **启动BurpSuite**:打开BurpSuite专业版,设置代理监听端口,并在浏览器中配置该代理。 2. **拦截流量**:在BurpSuite的“拦截器”模块中启用拦截,所有HTTP请求现在都会被暂停。 3. **分析请求**:查看请求的...
绿软burpsuite_pro_v1.5.01 版,mac,windows可用,代理和包分析利器
04-02
安装和运行Burp Suite Pro,只需双击下载的`burpsuite_pro_v1.5.01.jar`和`BurpLoader.jar`文件即可启动。初次运行可能会遇到一些配置问题,比如设置代理端口、调整内存分配等,这些问题可以通过软件内的设置选项...
Burpsuite抓取APP的https所需证书
04-09
Burpsuite拦截APP的https所需证书。 1、将证书放到手机内从中(部分手机读取不到sd卡上的证书) 2、到手机设置中: 安全——查看安全证书CA证书(不同手机显示不同)——用户(有些手机需要自己添加导入的证书,有些手机会自动读取)——点击证书 安装即可。 3、安装好后,就可以轻松抓取app的https请求啦~ ~
BurpSuite----基本介绍及环境配置
11-23
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
burpsuite拦截https数据包(Firefox)
weixin_30888413的博客
05-08 648
一、拦截https导入证书操作步骤 1.配置浏览器对http/https都使用burpsuite代理 http和https是分开的,对http使用了代理并不代表对https也使用了代理,要配置浏览器让其对https也使用同样的代理。 当然有些浏览器提供“为所有协议使用相同代理”的选项(比如这里的Firefox),那直接钩选这个选项也可以。 配置完成后访问http的网站...
burpsuite原理代理的设置
weixin_58849785的博客
04-08 2380
它由 PortSwigger 开发,广泛用于安全专业人员、渗透测试员和Web开发人员中,用于识别和利用Web应用程序中的漏洞。Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。第二步:打开浏览器,并设置burp的代理
burpSuite之安装+配置代理+安装证书抓取https
Ahuuua的博客
09-15 2118
1.安装用的破解版,解压直接可以用 2.打开BurpSutie配置代理 使用默认的127.0.0.1:8080就好 编辑完记得Running打勾✔ 3.配置浏览器代理安装证书 对火狐浏览器配置代理及安装证书: >设置->搜索代理->设置代理 安装证书: >设置->搜索证书->查看证书->导入 点击导入 最后: 对谷歌浏览器配置代理及安装证书: 先对谷歌代理进行了配置,设置->高级->打开..
Burp Suite 代理机制,代理 PC、手机配置
AlimSah的博客
12-05 3728
时隔多年,重新拿起 Burp Suite。对以前使用 Burp 还有一些印象,但是具体操作起来,还是有一些出入。折腾了一阵子,终于在手机端和 PC 端都代理成功了。这一次直接记录下来,避免再折腾。 总的代理机制 这是一篇面向对于使用 Burp Suite 有一丁点了解的读者的总结,所以有些东西会根据我自己觉得是否关键作一些解释,尽量讲得很清楚。 代理机制不分什么端的设备,都是一样的。简单地讲就是,...
https中间人代理基本原理之我见
qq_46274532的博客
06-29 718
客户端服务端中间人
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
Alvin_Lam的专栏
01-16 7562
APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外)。所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议、Websocket、socket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocket,Burp Suite工具是最适合不过的工具了。但是在遇到了app使用SSL或TLS加密传输
burpsuite原理
08-23
BurpSuite是一款用于进行Web应用程序安全测试的工具。它的工作原理是通过代理模式来拦截、查看和修改客户端与服务端之间传输的数据。BurpSuite默认代理信息会被设置在浏览器中,这样所有的请求和响应都会经过BurpSuite进行处理。通过Proxy功能,BurpSuite可以拦截并展示请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。这样,测试人员可以对这些数据进行分析、修改和重放,以便发现潜在的漏洞和安全风险。在测试过程中,BurpSuite还提供了Spider功能来自动化浏览和发现应用程序中的链接,并且可以进行数据的解码、编码等操作。总的来说,BurpSuite原理主要是通过代理模式来拦截并处理客户端与服务端之间的数据,以帮助测试人员发现和修复Web应用程序的安全问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [BurpSuite-collections:BurpSuite收集:包括不限于 Burp 文章、破解版、插件(非BApp Store)、汉化等相关...](https://download.csdn.net/download/weixin_42121905/17332433)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【常用工具】BurpSuite工作原理及入门](https://blog.csdn.net/Fighting_hawk/article/details/122576531)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值