浏览器设置
Burp 需要与您的浏览器一起使用。Burp 充当 HTTP 代理服务器,来自浏览器的所有 HTTP/HTTPS 流量都通过 Burp。要将 Burp 用于任何类型的测试,您需要配置浏览器以使用它。
首先,您需要确认 Burp 的代理侦听器正在工作。转到 Proxy 选项卡,然后是 () 子选项卡,然后查看 Proxy 部分。您应该会在表中看到一个条目,其中 Run() 列中的复选框已选中,“()”列中的“127.0.0.1 :8080”。如果没有,请尝试按面板左侧的齿轮图标并选择“恢复默认值 ( )”按钮。如果侦听器仍未运行,Burp 无法打开默认代理侦听器端口(8080)。您需要选择条目,单击编辑,然后将侦听器的端口号更改为其他数字。请参阅代理侦听器章节以获得更多帮助以获取更多详细信息。
其次,您需要将浏览器配置为使用 Burp 代理侦听器作为其 HTTP 代理服务器。为此,您需要更改浏览器的代理设置以设置 HTTP/HTTPS 协议的代理,您需要设置主机地址(默认为 127.0.0.@ >1)和端口(默认为8080)。具体操作方法因浏览器和版本而异,大致如下:
注①:对于浏览器,可以安装或插件,然后根据插件说明配置代理。译者认为这种方法比原文中提到的方法更方便快捷。
配置浏览器后,您需要测试它是否有效。首先启动 Burp,然后在浏览器中访问任何 HTTP URL(暂时不要访问 HTTPS 站点)。然后您的浏览器应该正在等待请求完成。转到 Burp,转到 Proxy 选项卡,然后转到 () 子选项卡。选项卡将突出显示,主面板中将有一个 HTTP 请求。单击开启按钮显示关闭。回到您的浏览器,您很快就会看到浏览器以正常方式加载的 URL。如果操作不正确,请参阅故障排除帮助。
最后,您需要配置侦听器以使 HTTPS 请求能够通过 Burp 代理。此步骤不是必需的,您可以以基本方式使用 Burp 或仅用于非 HTTPS URL,但设置过程只需设置一次,您可以在测试使用 HTTPS 的应用程序时充分利用 Burp。这个单独设置的原因是 Burp 打破了浏览器和目标 Web 服务器之间的 SSL 连接的信任关系,以便让 Burp 可以查看和修改 HTTPS 消息的明文内容。SSL 旨在防止这种情况(中间人攻击),默认情况下配置burpsuit谷歌浏览器证书及HSTS问题处理,当您使用 Burp 访问 HTTPS URL 时,您的浏览器将显示安全警告。为确保使用 HTTPS 的应用程序正常工作,您需要安装 Burp' s 浏览器信任库中的证书颁发机构 (CA) SSL 证书。有关执行此操作的详细帮助,请参阅安装 Burp 的 CA 证书的帮助。完成此操作后,您需要关闭所有浏览器窗口,然后重新打开浏览器配置burpsuit谷歌浏览器证书及HSTS问题处理,访问任何 HTTPS URL,并查看是否可以在 Burp 中收到明文消息。同时浏览器不显示任何安全警告,页面加载正常(如果您打开了开关,您需要在选项卡中再次单击打开以关闭阻止)。
本栏目英文原文地址:
评论留言