2017-02-26 48 views
1

我是web pentesting的新手。我有個問題。請建議使用burp套件捕獲用戶信息

說,我有一個https網址,我已經設置所有http請求通過burp代理配置訪問。在一般情況下,如果我們從像firefox這樣的客戶端訪問url,我們知道我們可能會遇到多個域的安全異常,我們需要爲每個域添加安全異常。在穿越安全例外後,我們可以訪問url,並且可以通過burp訪問用戶名和密碼(通過將截距設置爲ON)。

1)如果我們能夠在爲多個域添加安全性例外之後訪問Web應用程序,那麼這是否意味着Web應用程序尚未正確處理安全問題?

2)此外,客戶端是否應該像firefox或運行Web應用程序的服務器一樣處理這些安全問題?

回答

2

你在說什麼會影響你的網絡瀏覽器,並不代表你正在查看的網絡應用程序中的安全配置。由於burp代理SSL,因此需要使用證書進行響應以查看流量​​。否則,您只會對無法攔截並查看的加密流量進行隧道傳輸。

您的瀏覽器發現證書對您嘗試訪問的網站無效,並向您顯示警告。

您可以避免每次通過配置Burp的CA證書來添加安全性例外。說明如下:https://portswigger.net/burp/help/proxy_options_installingCAcert.html

本質上,您將瀏覽到http://burp,同時配置爲通過打嗝代理。在這裏,您將下載證書,然後您將按照上面的鏈接說明導入您的瀏覽器。

玩得開心。