首页 > 移动安全 > burpsuite抓包https请求相关
2017
11-12

burpsuite抓包https请求相关

换工作或者更换电脑,使用burpsuite抓https的时候总是需要配置一下,记性大不如从前,还是在博客上记录下吧。

移动端抓https的接口,ios设置好代理,直接访问代理指向的burpsuite客户端所在的主机ip和端口,就可以下载安装证书。但是对于Android,.cer的证书文件是没有办法直接安装的,我常用的解决办法如下:

1,firefox设置好代理之后,打开一个https的请求,在地址栏最前面会有一个绿色的锁头标志,点开之后在更多信息选项可以查看burpsuite的证书,然后导出一下就是.crt的证书格式;

2,以android模拟器为例,用adb命令将导出的本地文件push到模拟器中:

./adb push /Users/nxadmin/Downloads/PortSwiggerCA.crt /sdcard/Download/

3,在模拟器中设置–安全–从SD卡安装。

以上就可以使用burpsuite抓移动端的https接口了,部分app的接口可能是双向证书验证,就会报错网络错误。

使用firefox浏览器抓一些https请求,有些时候mac安装了burpsuite证书,也可能抓不到一些https网站的包,大概的报错如下:

www.nxadmin.com 使用了无效的安全证书。 该证书因为其颁发者证书未知而不被信任。 该服务器可能未发送相应的中间证书。 可能需要导入额外的根证书。 错误代码: SEC_ERROR_UNKNOWN_ISSUER

这种情况需要将burpsuite的证书导入到firefox的证书管理器中,并且进行信任设置,操作方法如下:

firefox–首选项–隐私与安全–证书–查看证书,打开证书管理器之后,选择导入crt证书文件,然后设置信任即可。

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。