Firefox+BurpSuite绕HSTS抓包

最新推荐文章于 2025-10-12 21:00:47 发布
原创 最新推荐文章于 2025-10-12 21:00:47 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了在目标网站启用HSTS情况下,如何通过Firefox设置BurpSuite代理并导入证书,实现正常浏览及抓包操作。首先,访问http://burp下载证书至本地,接着将证书导入浏览器的证书颁发机构,最后即可实现页面正常浏览及BurpSuite抓包。

所遇场景

在渗透测试过程中目标网站使用了HSTS导致burpsuite无法正常抓包,情景如下所示:

解决方法

Firefox中设置burpsuite代理之后访问http://burp,然后下载证书到本地

之后导入证书到浏览器证书颁发机构:

之后再次访问页面可以正常浏览:

burpsuite可抓包:

 

抓包神器之Charles(过代理屏蔽)以及证书校验
qq_32445755的博客
11-21 4569
代理屏蔽:app不走系统代理[最常见] okhttp框架 破局:利用软件挂VPN 走charles再链接burp改包;单向认证,证书绑定 (必须要有证书 app得有证书) 客户端检测服务端 破局: hook[我们通过技术手段不让代码执行哪一块] 解包app,改代码,捞里面的合法证书,拿来伪装;双向认证:客户端、服务端都检测;(需要二进制功底)
保姆级手把手教你使用 夜神模拟器+burpsuite 实现app抓包
gh0stf1re的博客
04-18 5330
文章目录前言所需工具安装步骤1.安装夜神模拟器2.模拟器多开 android 53.安装xposed框架4.安装justTrustMe5.设置代理,让流量走本地的burpsuite6.安装burpsuite证书7.app抓包参考链接 前言 通过我之前在某甲方爸爸做漏洞管理工作所看到的情况:互联网业务存在十分严重的漏洞其实很少了,而app这块很可能存在越权漏洞。要做app的渗透测试,第一步当然就是抓包。 所需工具 burpsuite+夜神模拟器+xposed+justTrustMe 问:为什么要下载夜神模拟器
Firefox+BurpSuiteHSTS抓包
04-16 1988
1、firefox的证书设置 在firefox的url栏输入 http://burp 点击CA Certificate下载证书 然后在导入证书 选项 ---> 高级 --->证书 --->查看证书 2、点击导入,然后找到刚刚下载的证书 打开 勾选第一个 ,信任使用该CA标志的网站 然后点击确定 就导入成功了 ...
如何设置Firefox以避免HSTS自动跳转?
最新发布
ctebqeb228dju的博客
10-12 330
Firefox中禁用HSTS自动跳转需要通过修改浏览器配置或清除HSTS记录。
burp https证书与关闭HSTS正确姿势
11-24
burp https证书与关闭HSTS正确姿势,决定干货,希望大家喜欢。
HSTS继续抓包
05-27 2980
在网站渗透过程中,我们往往需要对HTTP协议抓包分析,然后对每一个参数进行观察和测试。HSTS,即HTTP严格传输安全协议,它是一个互联网安全策略机制。网站可以选择使用HSTS策略,来让...
burp抓https包
zzc222zzc的博客
04-09 1432
    HTTPS协议是为了数据传输安全的需要,核心的东西是需要CA证书,在配置burp抓https包的时候需要安装证书,以Chrome浏览器为例:(1)首先设置burp的代理为:浏览器配置,Chrome浏览器用的插件为switchomega:即通过该浏览器的数据都会先转发到127.0.0.1:8080上。(2)配置好代理后,在浏览器上访问:http://burp选择右上角的CA Certific...
访问网站报错‘您目前无法访问XXXX 因为此网站使用了 HSTS
jimmyleeee的专栏
11-16 1万+
使用Chrome测试某一个网站时,之前一直可以正常访问, 突然再次访问就显示:“您目前无法访问XXXX 因为此网站使用了 HSTS” 使用IE之前也是可以正常访问的, 但是,现在也变成如下所示: 1) Chrome 处理方法 在Chrome中输入:chrome://net-internals/#hsts, 可以通过Query HSTS/PKG domain查询是否启用了HSTS 然后再在下面的输入框中输入刚查询的域名,点击删除, 再次,访问,就可以访问了。 ...
解决“您目前无法访问,因为此网站使用了 HSTS”问题
热门推荐
AcceptedLin的博客
12-27 2万+
HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。
精选资源
使用sqlmap+burpsuite进行中级sql注入
06-01
Firefox浏览器中,进入"设置" -> "高级" -> "网络" -> "设置",配置代理为Burpsuite的监听地址和端口,确保所有网络请求都经过Burpsuite。 2. **目标网站与SQL注入点**: 在本例中,我们使用DVWA(Damn ...
Proxfier+burpsuite抓包配置问题
m0_74402888的博客
09-07 894
在圈起来的三个地方添加证书。搜索证书--》点安全。
精选资源
配置Frida+BurpSuite+Genymotion 过Android
03-31
配置Frida+BurpSuite+Genymotion, 过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.youkuaiyun.com/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
burp抓取https数据包:
qq_44767905的博客
03-20 1万+
https简述: HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性[1]。HTTPS 在HTTP 的基础下加入ssl,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与tcp之间)。这个系统提供了身份验证与加密通讯方法。 ...
配置burpsuit谷歌浏览器证书及HSTS问题处理
m0_37570494的博客
01-27 9950
1、处理hsts访问不了页面的问题,则直接打开 chrome://net-internals/#hsts 对要访问的域名在delete模块下输入后点击删除即可访问该域名: 2、谷歌浏览器用burp抓包,发现http可以正常访问,但接口无数据,则排查出来是https并不能访问导致,所以此处需要导入burp的证书: 找个地方导出即可。 3、在谷歌浏览器进行证书的导入: 在谷歌浏览器隐私与安全里面找到证书管理: 找到之前导出的文件,选择文件类型为所有文件,导入即可使用。 ...
chrome 您的连接不是私密连接_怎么在Chrome和Firefox浏览器中清除HSTS设置?
weixin_39981632的博客
11-24 1440
HSTS代表的是HTTPS严格传输安全协议,它是一个网络安全政策机制,能够强迫浏览器只通过安全的HTTPS连接(永远不能通过HTTP)与网站交互。这能够帮助防止协议降级攻击和cookie劫持。HSTS最初是为了响应Moxie Marlinspike在2009 BlackHat Federal(2009年黑帽安全大会)上进行的题为“实践中击败SSL的新技巧”的演讲中所提出的一个漏洞而创建的。HSTS...
聊一聊什么是HSTS
u014036251的博客
11-05 868
当用fiddler抓包工具抓取某些HTTPS网站,浏览器页面显示无法访问,提示该网站使用了HSTS。那究竟什么是HSTS呢?它的作用是什么呢? HSTS是HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS)。 目前HTTPS网站存在下面弱点: 1、当用户在浏览器中输入www.baidu.com,浏览器默认会将访问http://www.baidu.com,而不是https://www.baidu.com。将由服务器将http请求重定向到https,但这
使用Burp Suite抓取手机HTTPS请求的详细教程【附图文】
2402_83115004的博客
03-13 2260
随着移动应用的普及,了解和分析手机应用的网络请求变得越来越重要。Burp Suite是一个广泛使用的渗透测试工具,能够帮助我们抓取、分析和修改HTTP/HTTPS请求。本文将详细介绍如何配置和使用Burp Suite抓取手机HTTPS流量,帮助大家理解和使用这个强大的工具。通过以上步骤,你可以使用Burp Suite成功抓取并分析手机应用的HTTPS流量。这对于安全测试、漏洞发现以及理解应用的网络行为都有很大帮助。希望本文能帮助你更好地掌握Burp Suite,提升自己的渗透测试技能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值