- Налаштування Burp для роботи з HTTPS
- Установка і видалення CA сертифікату Burp в браузер
- Установка CA сертифікату від Burp в Internet Explorer
- Установка CA сертифікату від Burp в Chrome
- Установка CA сертифікату від Burp в Firefox
- Установка CA сертифікату від Burp в Safari
- Видалення CA сертифікату від Burp з Internet Explorer
- Видалення CA сертифікату від Burp з Firefox
- Видалення CA сертифікату від Burp з Safari
Burp призначений для роботи в парі з браузером. Такі функції Burp як HTTP проксі сервер і весь HTTP / S трафік з вашого браузера проходить через Burp. Щоб робити тестування будь-якого роду з Burp вам потрібно налаштувати ваш браузер для роботи з ним.
Почати потрібно з підтвердження, що проксі-слухач Burp активний і працює. Перейдіть у вкладку Proxy, потім під-вкладка Options і подивіться на секцію Proxy Listeners. У стовпці Interface ви повинні побачити "127.0.0.1:8080".
Якщо це не так, то натисніть кнопку "Restore defaults" зліва від панелі. Якщо слухач ще не запущений, то значить Burp не зміг відкрити стандартний проксі-слухач на порту (8080). Вам потрібно натиснути "Edit" і змінити номер порту слухача на інший.
По-друге чергу вам потрібно налаштувати ваш браузер для використання проксі-слухача Burp як HTTP проксі-сервер. Щоб це зробити, потрібно змінити налаштування проксі вашого веб-браузера, щоб він використовував адреса хоста проксі (за замовчуванням 127.0.0.1) і порт (за замовчуванням, 8080) для HTTP і HTTPS протоколів. Як саме це зробити залежить від браузера, але в цілому це відбувається так:
- Internet Explorer - виберіть «Властивості браузера», перейдіть у вкладку «Підключення» і клікніть на «Налаштування мережі». Переконайтеся, що з пункту «Автоматичне визначення параметрів» знята галочка. Поставте галочку на «Використовувати проксі сервер для локальних підключень ...». Введіть адресу проксі-слухача Burp в поле «Адреса» (за замовчуванням 127.0.0.1). І введіть порт проксі слухача Burp в поле «Порт» (за замовчуванням, 8080). Переконайтеся, що з опції «Не використовувати проксі-сервер для локальних адрес» галочка знята.
Потім клікніть кнопку «Додатково» і переконайтеся, що на опції «Використовувати один проксі-сервер для всіх протоколів» стоїть галочка. Видаліть все, що стоїть в полі «Винятки». Потім натисніть «ОК» для закриття вікон налаштувань.
- Chrome - веб-браузер Chrome використовує настройки HTTP проксі з системи. Якщо ви використовуєте Chrome, то можете відкрити вбудований на вашому комп'ютері браузер і налаштувати його (для Windows потрібно налаштувати проксі в Internet Explorer як це показано вище). Якщо ви не впевнені, де знаходяться налаштування вбудованого проксі, відкрийте Chrome, перейдіть в меню «Налаштування», клікніть кнопку «Показати додаткові налаштування» і клікніть кнопку «Змінити налаштування проксі-сервера». Відкриється відповідне вікно налаштувань для вашого комп'ютера.
- Firefox - перейдіть в меню, там виберіть «Налаштування», клікніть на «Додаткові», перейдіть у вкладку «Мережа», і натискаєте кнопку «Налаштувати».
Виберіть «Ручне регулювання сервісу проксі» і в «H TTP проксі» введіть адресу проксі-слухача Burp (за замовчуванням, 127.0.0.1). Введіть порт вашого проксі-слухача Burp в поле «Порт» (за замовчуванням 8080). Переконайтеся, що стоїть галочка на «Використовувати цей проксі-сервер для всіх протоколів». Видаліть все, що написано в «Не використовувати проксі для»:
Натисніть «ОК» для збереження налаштувань.
- Firefox (англійською) - в браузері відкриваєте Preferences -> Advanced -> Network -> Settings. Там виберіть Manual Proxy Configuration і в полях HTTP Proxy введіть IP і порт проксі в Burp Suite.
- Safari - перейдіть в меню Safari, клікніть на Налаштування, клікніть на Додатково у ярлика Проксі клікніть на кнопку «Змінити настройки». Ви потрапите в Мережеві настройки для вашого поточного мережевого адаптера. У вкладці Проксі перевірте галочку "Веб проксі (HTTP)" і введіть адресу вашого проксі-слухача Burp в поле «Веб проксі-сервер» (за замовчуванням 127.0.0.1), і порт вашого проксі-слухача Burp в поле без ярлика (за умовчанням 8080). Переконайтеся, що область «Пропустити налаштування проксі для цих хостів і доменів» є марною. Повторіть кроки для «Безпечний веб-проксі (HTTPS)». Натисніть «ОК» і «Застосувати», закрийте відкриті діалогові вікна.
Після настройки браузера вам потрібно протестувати коректність роботи. З запущеним Burp в вашому браузері перейдіть за будь-HTTP посиланням (поки не використовуйте HTTPS). Ваш браузер повинен зупинитися в очікуванні завершення запиту. У Burp перейдіть у вкладку Proxy і в під-вкладку Intercept. Ці вкладки повинні бути підсвічені і в головній панелі повинен бути видно HTTP запит. Натисніть на кнопку "Intercept is on", вона повинна змінитися на "Intercept is off". Поверніться в браузер, ви незабаром повинні побачити сторінку, адреса якої ви відкриваєте.
Налаштування Burp для роботи з HTTPS
Нарешті, потрібно налаштувати браузер щоб він міг без проблем відправляти HTTPS запити через Burp. Цей крок не є строго необхідним, він потрібен тільки якщо ви хочете отримати максимум з Burp при тестуванні додатків, які використовують HTTPS. Причина цієї вимоги в тому, що Burp ламає SSL з'єднання між вашим браузером і цільовим веб-сервером щоб переглядати і модифікувати вміст HTTPS повідомлень у вигляді простого тексту. SSL створений не допускати цього, тому за замовчуванням в вашому браузері показується попередження безпеки коли ви відвідуєте HTTPS URL використовуючи Burp.
Щоб виправити використання HTTPS функціональності, потрібно встановити SSL сертифікат Burp в довірена сховище вашого браузера щоб він виступав в ролі центру сертифікації (Certificate Authority (CA)).
За замовчуванням, коли ви відкриваєте HTTPS веб-сайт через Burp, проксі генерує SSL сертифікат для кожного хоста, підписаний його власним центром сертифікації (Certificate Authority (CA)). Цей CA сертифікат генерується при першому запуску Burp і зберігається локально. Як вже було сказано, для найбільш ефективного використання Burp Proxy з HTTPS веб-сайтами, вам потрібно встановити CA сертифікат Burp як довірений кореневий сертифікат в вашому браузері.
Примітка: якщо ви встановите довірений сертифікат в вашому браузері, то атакуючий, хто має приватний ключ для цього сертифікату, може виконувати атаки людина-посередині для ваших SSL з'єднань без очевидного виявлення, навіть якщо ви не використовуєте переривають проксі. Для захисту від цього, Burp генерує унікальний CA сертифікат для кожної установки, а приватний ключ для цього сертифікату зберігається на вашому комп'ютері в зазначеному користувачем розташуванні. Якщо ненадійні люди можуть прочитати локальні дані на вашому комп'ютері, можливо, ви не заходите встановлювати CA сертифікат від Burp.
Установка і видалення CA сертифікату Burp в браузер
Якщо ви це ще не зробили, налаштуйте ваш браузер для використання Burp в якості проксі та налаштування проксі-слухач Burp на генерацію CA-підписаного сертифіката на кожен хост (це настройка за замовчуванням). Скористайтеся однією з нижченаведених інструкцій для вашого браузера:
Установка CA сертифікату від Burp в Internet Explorer
Примітка: для зміни налаштувань довірених сертифікатів в IE ви повинні мати акаунт з локальними адміністративними привілеями.
Якщо ви вже встановлювали інший CA сертифікат, згенерований Burp, вам слід спочатку видалити його з Internet Explorer. Як це зробити показано нижче.
Запустіть Internet Explorer. В останніх версіях Windows ви повинні запустити IE як адміністратор. Натисніть кнопку Пуск (Win), почніть писати "internet explorer", правою кнопкою по іконі Internet Explorer і виберіть у контекстному меню «Запустити від імені адміністратора».
З запущеним Burp, відвідайте в IE і натисніть посилання "CA Certificate" для завантаження і збереження вашого Burp CA сертифікату. Запам'ятайте, де ви зберегли ваш Burp CA сентіфікат.
З'явиться повідомлення із запитом, натисніть «Зберегти».
Повинен скачати файл "cacert.der". З'явиться ще одне повідомлення, натисніть «Відкрити».
Натисніть «Встановити сертифікат ...». З'явиться вікно Майстра імпорту сертифікатів.
Натисніть «Далі»:
Поставте галочку «Помістити всі сертифікати в наступне сховище» і натисніть «Огляд»:
У вікні, виберіть «Довірені кореневі центри сертифікації»:
Натисніть «ОК» і «Далі». Натисніть «Готово»:
З'явиться попередження, натисніть «Так»:
Перезапустіть IE (більше не потрібні права адміністратора). Якщо все працюють, у вас повинні відкриватися HTTPS URL через Burp без будь-яких попереджень безпеки.
Установка CA сертифікату від Burp в Chrome
Примітка: браузер Chrome використовує сховище довірених сертифікатів вашого хоста. Вам потрібно встановити CA сертифікат від Burp в браузер, вбудований в вашу систему (тобто Internet Explorer на Windows або Safari на OS X), Chrome буде автоматично використовувати ці сертифікати.
Ви можете отримати доступ до системного сховища довірених сертифікатів в налаштуваннях Chrome> HTTPS / SSL.
Або перейдіть до відповідних інструкцій для вашого вбудованого браузера: Internet Explorer або Safari.
Коли CA сертифікат від Burp буде встановлений для вашого вбудованого браузера, перезапустіть Chrome і ви зможете відвідувати будь-які HTTPS URL через Burp без будь-яких попереджень безпеки.
Установка CA сертифікату від Burp в Firefox
Якщо ви раніше встановили інший CA сертифікат, згенерований у Burp, вам слід спочатку видалити його. Інструкція як це зробити нижче.
З запущеним Burp перейдіть в вашому браузері на і натисніть посилання "CA Certificate" для завантаження і збереження вашого Burp CA сертифікату. Запам'ятайте, де ви зберегли Burp CA сертифікат.
У Firefox відкрийте меню. Клацніть "Налаштування». Виберіть вкладку «Додаткові». Виберіть вкладку «Сертифікати» і натисніть «Перегляд сертифікатів».
Виберіть вкладку «Центри сертифікації». Натисніть «Імпортувати», виберіть файл з сертифікатом Burp CA який ви до цього зберегли і натисніть «Відкрити». У вікні, поставте галочку «Довіряти при ідентифікації веб-сайтів», і натисніть "ОК".
Закрийте всі діалогові вікна та перезапустіть Firefox. Якщо все працює, у вас повинні відкриватися HTTPS URL через Burp без попереджень безпеки.
Установка CA сертифікату від Burp в Safari
Видалення CA сертифікату від Burp з Internet Explorer
Запустіть Internet Explorer. В останніх версіях Windows ви повинні запустити IE як локальний адміністратор. Натисніть на кнопку Пуск (Win), напишіть "internet explorer", правою кнопкою миші по посиланню на Internet Explorer і виберіть у контекстному меню «Запустити від імені адміністратора».
Перейдіть в «Властивості браузера», виберіть вкладку «Зміст» і клікніть «Сертифікати».
Знайдіть вкладку «Довірені кореневі центри сертифікації», знайдіть запис «PortSwigger CA» і натисніть «Видалити».
В кожному вікні підтвердження натисніть «Так». Перезапустіть Internet Explorer.
Видалення CA сертифікату від Burp з Firefox
У Firefox відкрийте меню. Клацніть "Налаштування». Виберіть вкладку «Додаткові». Виберіть вкладку «Сертифікати» і натисніть «Перегляд сертифікатів».
Виберіть вкладку «Центри сертифікації».
Пролістніте колонку «Ім'я сертифіката» вниз і виберіть в списку запис "PortSwigger CA".
Виділіть її та натисніть кнопку «Видалити або не довіряти». Потім «ОК» для підтвердження. Перезапустіть Firefox.
Видалення CA сертифікату від Burp з Safari
Додатково ви можете захотіти встановити CA сертифікату від Burp на мобільний пристрій. Спочатку переконайтеся, що мобільний пристрій налаштовано для роботи з Burp Suite. Потім використовуйте посилання нижче для допомоги по установці сертифікатів на різні типи мобільних гаджетів:
