web-dev-qa-db-fra.com

Comment puis-je utiliser le proxy BurpSuite avec HTTPS dans chrome

BurpSuite ne peut intercepter que le trafic HTTP. Comment puis-je également intercepter le trafic HTTPS sur Ubuntu? J'ai besoin d'installer la CA mais comment?

13
Silver

Obtention du certificat:

  • Lorsque chrome est configuré pour utiliser Burp comme proxy, accédez à http: // burp/cert et le certificat codé DER sera téléchargé automatiquement.
  • Téléchargez le certificat dans BurpSuite sous l'onglet Proxy-> Options sous Importer/exporter le certificat CA. Exportez le certificat au format DER.

Installez le certificat:

  • Soit en double-cliquant dessus dans votre navigateur de fichiers (Nautilus dans mon cas), soit en l'important dans Chrome.
    1. Une autre façon de l'installer est d'importer directement dans Chrome. Allez dans Paramètres-> Afficher les paramètres avancés ... (en bas) -> HTTPS/SSL: Gérer les certificats-> Autorités (onglet) -> Importer
    2. Dans le sélecteur de fichiers, vous devez définir le filtre de fichiers sur "Binaire codé DER .." ou "tous les fichiers" pour rendre votre fichier de certificat visible. Le paramètre de sélection de fichier par défaut est codé en base 64 ASCII et notre fichier est codé DER.

Maintenant, pour l'étape qui me manquait dans d'autres explications, dans le gestionnaire de certificats chrome dans l'onglet Autorités (où vous venez d'importer le certificat), trouvez le certificat nouvellement importé. Dans mon cas, il semblait comme ça: enter image description here

Remarquez le "Non fiable", dans mon cas, cela signifiait que je recevais toujours les avertissements SSL et le cadenas rouge. Cliquez sur "PortSwigger CA non fiable" et cliquez sur Modifier ...

Cochez "Faire confiance à ce certificat pour identifier les sites Web". et cliquez sur "OK". Dans mon cas, le texte "non approuvé" n'a pas disparu directement, mais après le redémarrage de Chrome, l'autorité de certification PortSwigger a été approuvée et le proxy SSL fonctionne.

S'il s'agit d'un doublon, veuillez m'en informer, mais je n'ai pas trouvé d'explication similaire.

14
Silver

Pour Mac: configuration de BurpSuite Proxy avec HTTPS et correction du message votre connexion n'est pas privée

1. Configurez Chrome pour utiliser Burp comme proxy)

enter image description here

Vous pouvez consulter les instructions détaillées de cette étape ici https://support.portswigger.net/customer/portal/articles/1783070-configuring-safari-to-work-with-burp

Assurez-vous d'appuyer sur [~ # ~] ok [~ # ~] et Appliquer

2. Téléchargez et installez le certificat Burp

http: // burp/cert

Vous devez avoir le proxy activé pour ce faire. Une fois téléchargé, double-cliquez dessus pour l'installer. Enregistrer dans le trousseau de connexion.

3. Modifier les autorisations de certificat

Ouvrez Keychain Access et recherchez "portswigger" pour trouver le certificat. Faites un clic droit et appuyez sur "Obtenir des informations".

enter image description here

Sélectionnez "Toujours faire confiance". enter image description here

Le message rouge Votre connexion n'est pas privée devrait disparaître maintenant.

9
joshuakcockrell