Intercettazione SSL con Burp Suite usando Firefox - Strano comportamento quando si intercetta twitter

1

Sto imparando Burp Suite (versione gratuita v1.6). L'ho configurato con le impostazioni predefinite. Il listener proxy sta ascoltando 127.0.0.1 sulla porta 8080 e l'opzione Certificate è impostata su 'Genera certificati per host per firma di CA'. Sto usando Firefox 33.0.2 e ho configurato le impostazioni del proxy in modo appropriato. Quando provo a cercare https://www.facebook.com/ , viene visualizzata una pagina "Questa connessione è non attendibile", che è prevista, comprensibile. Ho delle opzioni per "Tirami fuori di qui!" e "Aggiungi eccezione". Anche la maggior parte degli altri siti su SSL fa lo stesso. Tranne che ho riscontrato un comportamento un po 'diverso quando provo a cercare https://www.twitter.com/ . Ricevo una pagina "Questa connessione è non attendibile", ma questa volta senza un'opzione per "Aggiungi eccezione". In entrambi i casi, i dettagli tecnici indicano lo stesso problema.

www.***.com uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. (Error code: sec_error_unknown_issuer)

Si noti che so che posso importare la CA di Burp come CA attendibile nel mio browser, ma quello che mi chiedo nel caso specifico di Twitter non ho la possibilità di aggiungere il certificato come eccezione. Questo comportamento è coerente tra almeno i 2 browser che ho testato: Firefox e Chrome.

Aggiorna Ho disattivato l'opzione di blocco dei certificati in Firefox e vedo ancora gli stessi risultati.

UPDATE 2 L'opzione per aggiungere il certificato come eccezione è lì, ma nascosta con il seguente codice -

<h2 xmlns="http://www.w3.org/1999/xhtml" hidden="true" id="expertContent" class="expander" collapsed="true">
      <button onclick="toggle('expertContent');">I Understand the Risks</button>  
</h2>

Ma perché nel mondo Firefox decide di farlo? Anche dopo "blocco del certificato" è disabilitato.

    
posta user1720897 04.11.2014 - 07:36
fonte

3 risposte

3

Questa è una funzione di sicurezza chiamata pinning del certificato (o pinning della chiave pubblica). In questo caso il browser sa quale certificato (o chiave pubblica) aspettarsi e rifiuta qualsiasi tentativo di ignorarlo dall'utente. Twitter è incluso per bloccare la chiave pubblica da Firefox 32.

Vedi link per ulteriori dettagli.

    
risposta data 04.11.2014 - 07:45
fonte
2

Un po 'di una soluzione dolorosa, ma funziona con BurpSuite / Charles / Fiddler, ecc è di tornare a Firefox 3 quando si desidera eseguire il proxy della connessione ai siti HSTS: link

    
risposta data 16.06.2015 - 16:47
fonte
0

Questo sito utilizza HTTP Strict Transport Security (HSTS) per specificare che Firefox si connette solo in modo sicuro. Di conseguenza, non è possibile aggiungere un'eccezione per questo certificato.

    
risposta data 04.03.2015 - 06:01
fonte