BurpSuite的https代理原理

最新推荐文章于 2025-07-18 15:34:40 发布
最新推荐文章于 2025-07-18 15:34:40 发布
阅读量8.5k 收藏 10
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: ssl burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/write_down/article/details/78990182
本文介绍了BurpSuite作为HTTPS代理的工作原理。首先对比了无BurpSuite时的HTTPS交互过程,接着详细阐述了BurpSuite如何通过中间人攻击方式伪装成目标服务器,使浏览器信任并实现HTTPS消息的明文捕获。
BurpSuite的基本原理是搭配浏览器使用的http代理。对于HTTP协议,与一般的HTTP代理原理相同。对于HTTPS,即使用SSL的安全HTTP协议,BurpSuite需要发起“中间人攻击”以获得HTTP消息明文。具体原理如下。






1. 无BurpSuite的HTTPS交互过程


    Client                          Server  
      | -----HTTPS(TCP443) Req------> |


      | <----- Certificate -----------|


  Verify Cert


      | <------SSL Negotiation------->|


      |<----Security Connection------>|


Client需要获取Server的公钥证书,并利用非对称密码算法协商对称密钥,实现后面http消息的机密性和完整性保护。SSL的设计是能够扛中间人攻击的,所以无法通过传统的中间人攻击实现https代理。






2. 有BurpSuite的HTTPS交互过程


BurpSuite的基本思路是伪装成目标https服务器,让浏览器(client)相信BurpSuite就是目标站点。为了达成目标,BurpSuite必须:(1)生成一对公私钥,并将公钥和目标域名绑定并封装为证书;(2)让浏览器相信此证书,即通过证书验证。所以, BurpSuite需要在操作系统添加一个根证书,这个根证书可以让浏览器信任所有BurpSuite颁发的证书。具体流程如下:


    Client                     BurpSuite                             Server
 
    |-----https(tcp 443) req------> |


                  Generate an certificate1 bound


                     with the target domain


    |<------ -certificate1---------->|


    |<-------SSL negotiation-------->|


    |<-----security connection------>|


                                     | -------https(tcp 443) req------->|


                                     |<-------certificate2------------->|


                                     |<----------SSL connection-------->|


                                     |<-------security connection------>|


之后,BurpSuite拥有了两套对称密钥,一套用于与client交互,另外一套与server交互,而在BurpSuite处可以获得https明文。





Burpsuite如何代理http流量与https流量
m0_73974640的博客
02-19 1054
但两者最大的区别是一个加密一个不加密。但两者最大的区别是一个加密一个不加密。提示也可以在burp suite中代理HTTP流量与https流量。提示也可以在burp suite中代理HTTP流量与https流量。burpsuite 配置代理、浏览器安装代理插件。burpsuite 配置代理、浏览器安装代理插件。通过上章我们知道的当输入一个网站会显示拒绝连姐。通过上章我们知道的当输入一个网站会显示拒绝连姐。7至此浏览器代理https流量配置完成看效果。7至此浏览器代理https流量配置完成看效果。
火狐浏览器下burpsuite代理https页面
jameson_的专栏
09-14 7168
前段时间装好了burpsuite之后,一直只能拦截http请求,一到https呢,就是这样的效果 “连接 https网址 时发生错误。 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。 (错误码: ssl_error_weak_server_ephemeral_dh_key)” (想起之前网易二面,那人问我burpsuite导入证书是网站的证书
安全测试必学神器 --BurpSuite 安装及使用实操,收藏这篇就够了
最新发布
Python_0011的博客
07-18 807
BurpSuite是一款功能强大的集成化安全测试工具,专门用于攻击和测试Web应用程序的安全性。适合安全测试、渗透测试和开发人员使用。本篇文章基于BurpSuite安装及常用实操做详解,如果你是一名安全测试初学者,会大有收获!一、BurpSuite简介BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多Burp工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报等。
BurpSuite工具-HTTP协议详解部分(不懂就查系列)
学习、分享、交流
05-22 1951
HTTP协议,即超文本传输协议(Hypertext transfer protocol)。是一种详细规定了浏览器和万维网(W W W = W orld W ide W eb)服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。
burpsuite代理https
qq_42078965的博客
06-17 1974
文章转载:https://www.cnblogs.com/Wuser/p/12460236.html 步骤一 1、配置浏览器代理(目前支持:IE、Firefox、Chrome、Safari、IPhone、Android) 拿Chrome为例: 设置---->显示高级设置---->网络---->更改代理服务器设置 —>点击局域网设置 —>输入好后点击确定。 2、访问http://burp(也可替换为ip+代理端口),下载burp的内置证书 —>下载之后 证书是ca
HTTPS连接过程以及中间人攻击劫持
热门推荐
我是黄大仙
05-09 1万+
HTTPS连接过程https协议就是http+ssl协议,如下图所示为其连接过程: 1.https请求 客户端向服务端发送https请求; 2.生成公钥和私钥 服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容; 3.返回公钥 服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等; 4.客户端
Burpsuite抓取https请求
06-05
Burpsuite抓取HTTPS请求的详细步骤及原理Burpsuite是一款广泛使用的网络安全工具,主要用于测试Web应用程序的安全性。然而,默认情况下,Burpsuite只能捕获HTTP类型的网络请求,而无法处理加密的HTTPS请求。...
burp suite手册中文001
06-24
2. 在这里,你可以看到通过 Burp 代理的所有请求和响应,无论拦截模式是否开启。 3. 通过点击历史记录中的条目,你可以详细查看原始请求及服务器的响应,这有助于深入分析和调试。 **总结** Burp Proxy 是 Burp ...
BurpSuite代理设置小技巧
2401_88858891的博客
01-16 1391
预估稿费:300RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿在Web渗透测试过程中,BurpSuite是不可或缺的神器之一。BurpSuite的核心是代理Proxy,通常情况下使用BurpSuite的套路是:浏览器设置BurpSuite代理——>访问Web应用程序——>BurpSuite抓包分析。本人从事Web渗透测试尚不足一年,这期间在代理设置过程中踩到过一点『小坑』,现在将我踩过的『小坑』总结一下。本文主要面对新人朋友,老司机们请不吝赐教~
【Burp Suite工具-2】BurpSuite工作原理及菜单栏介绍
m0_64378913的博客
05-14 2795
1 工作原理 1.1 工作原理简介 BurpSuite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据、服务器端的返回信息等。Burp Suite 主要拦截HTTP 和HTTPS 协议的流量,通过拦截, Burp Suite 以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理,以达到安全测试的目的。 1.2 BurpSuite默认代理信息 在日常工作中, 最常用的Web客户端就是Web 浏览器,我们可以通过设置代理信息,拦截Web浏览器的流量, 并对经过Burp Su
关于burpsuite修改http包的http实验
03-27
1. **启动BurpSuite**:打开BurpSuite专业版,设置代理监听端口,并在浏览器中配置该代理。 2. **拦截流量**:在BurpSuite的“拦截器”模块中启用拦截,所有HTTP请求现在都会被暂停。 3. **分析请求**:查看请求的...
burpsuite原理代理的设置
weixin_58849785的博客
04-08 3126
它由 PortSwigger 开发,广泛用于安全专业人员、渗透测试员和Web开发人员中,用于识别和利用Web应用程序中的漏洞。Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。第二步:打开浏览器,并设置burp的代理
HTTPS简解+burpsuitehttps原理+探针解析https原理
weixin_45630387的博客
06-29 2618
HTTPS的一些展开
burpsuite 基本原理
weixin_45626840的博客
03-26 2238
burp 基本原理,正向代理原理
【常用工具】BurpSuite工作原理及入门
Fighting_hawk的博客
01-19 8905
1. 了解BurpSuite面板上Proxy、Spider、Decode的主要功能及用法; 2. 了解一些该软件上一些中英文翻译词汇。
burpsuite拦截https数据包(Firefox)
weixin_30888413的博客
05-08 783
一、拦截https导入证书操作步骤 1.配置浏览器对http/https都使用burpsuite代理 http和https是分开的,对http使用了代理并不代表对https也使用了代理,要配置浏览器让其对https也使用同样的代理。 当然有些浏览器提供“为所有协议使用相同代理”的选项(比如这里的Firefox),那直接钩选这个选项也可以。 配置完成后访问http的网站...
burpsuite安装HTTPS证书
m0_61869253的博客
02-21 8605
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。BurpSuite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp。
BurpSuite抓包与浏览器设置代理
u010804417的博客
01-04 3572
BurpSuite抓包抓包流程第一步配置代理原理具体步骤第二步下载CA证书第三步将下载好的CA证书导入浏览器第四步抓取HTTPS数据包 补入此视频。 抓包流程 使用BurpSuite抓包整体流程共分为四步,如下图所示。 第一步配置代理 原理 通过配置代理来保证浏览器发出的请求都经过BurpSuite,再经由BurpSuite处理转发给(该请求原本要发送给的)服务器,如下图所示。 具体步骤 给浏览器设置代理。可以从不同内核(而非不同品牌)的浏览器中选择一款或几款给BurSuite拦截使用,其他内核的浏
Burpsuite实现抓包(http、https
2302_77482152的博客
02-28 3335
Burpsuite实现抓包(http、https
burp suite https
07-27
回答: 在使用Burp Suite对HTTPS进行拦截时,需要进行一些设置以使其能够正常抓取HTTPS数据包。首先,在Firefox的Proxy Switcher中设置代理地址为127.0.0.1,代理端口号为8080。然后,在Burp Suite软件中,登录到目标网址"https://www.baidu.com",这样就可以在Burp Suite中查看HTTPS数据包了。\[1\]然而,由于HTTPS包含证书,通常情况下Burp默认只抓取HTTP包,因此在拦截HTTPS包之前,需要进行一些额外的设置。你可以在火狐浏览器中依次进行以下操作:preferences -> privacy & security -> certificates -> view certificates...,然后按照提示导入证书。\[2\]\[3\]这样,你就可以成功拦截和查看HTTPS数据包了。 #### 引用[.reference_title] - *1* [如何添加Burp Suite添加https证书](https://blog.youkuaiyun.com/wjwqp/article/details/122387905)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Burp Suite拦截HTTPS请求](https://blog.youkuaiyun.com/u011781521/article/details/54450658)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [burpsuit如何抓取https网页的数据包](https://blog.youkuaiyun.com/qq_38170057/article/details/107523617)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值