Sto tentando di acquisire richieste / risposte usando Burp su Mozilla. Ho configurato Burp Proxy su 8080 e ho impostato le stesse impostazioni proxy su Firefox, tuttavia quando provo il collegamento Gmail, Firefox dà il messaggio di errore "Questa connessione non è sicura".
Mentre altre pagine sono consentite come Google, che funziona anche su HTTPS. Aiutami con questo in modo che possa eseguire Burp per acquisire richieste / risposte?
Riceverai quell'errore quando accedi a Gmail e non c'è davvero nulla che tu possa fare al riguardo, se non per provare diversi browser.
Ciò è dovuto all'HSTS (HTTP Strict Transport Security) che Google ha implementato insieme all'opzione per includere il blocco dei certificati. Ciò significa che per poter accedere ai loro siti senza questo avviso, è necessario non solo un certificato che il tuo computer ritiene sia valido, ma in particolare un certificato che Google ha dichiarato valido. Senza un certificato effettivo che Google ha bloccato, la connessione non sarà considerata attendibile.
HTST è generalmente implementato come header, quindi se sei un man-in-the-middle attivo potresti avere la possibilità di spogliare l'header (o almeno di modificarlo per non includere i pin del certificato) prima che arrivi al browser, impedendoti di ostacolarti, ma nemmeno questo metodo funzionerà con Gmail, dal momento che le proprietà di Google (tra le altre) fanno parte del set HSTS precaricato che viene fornito con alcuni browser, tra cui Chrome e Firefox. Ciò significa che il browser viene preinstallato con la consapevolezza che Gmail richiede HTTPS e certificati specifici aggiunti.
Quindi, prova diversi browser e prova a rimuovere tutti i certificati aggiunti dall'intestazione della risposta di Strict-Transport-Security prima che raggiungano il browser in modo che non influenzino la tua capacità di MitM nei browser che non dispongono di Gmail in un elenco HSTS precaricato.
per gestire il problema https, devi aggiungere il certificato di burp al tuo browser.
In primo luogo: sotto la scheda proxy scegli le opzioni ed esporta il tuo certificat da burp, salvalo da qualche parte:
insecondoluogo:pranzailbrowser,vaiaImpostazioniChrome/Preferenze/SottoCappa/Gestiscicertificati/schedaAutorithycertificazioneradiceaffidabileefaiclicsulpulsanteImporta.
Dopo,pensochepotrebbeesserenecessarioriavviareChrome
Perfirefoxpotrestieseguirelastessamanipolazione,tuttaviaperottenereilcertificatodiburptuvisitiquestoURL://burp/cert.
quindi,vaialleopzioni>avanza>certificats>visualizzacertificazioneeautorizzaecaricailburpcertif.
dopoquestoriavviaFirefoxeriprova:
Se si desidera intercettare il traffico SSL, è necessario installare il certificato CA burp. Vedi i documenti burp per i dettagli.
Leggi altre domande sui tag web-application tls penetration-test