导入 PortSwigger 证书后无法使用 burp suit 篡改 HTTPS 请求。它给出了一个警报“客户端无法协商 ssl 连接:没有共同的密码套件”......因为它适用于 http 请求......我已经尝试过 Internet Explorer、chrome、Mozilla 和 java 7 和 8,但没有成功篡改请求
【问题讨论】:
标签: security penetration-testing burp security-testing
您需要检查SSL相关配置(项目选项> SSL)
【讨论】:
我已经使用以下技术解决了这个问题
打嗝服
你能看到代理标签
2.1 然后点击选项标签
2.2 在下面的页面列表中检查 SSL Pass Through
在对话框中添加您的主机和端口号。
干杯...!!!你准备好了。
【讨论】:
在您的情况下,您是否尝试过从http://burp 下载证书并导入它?如果不起作用,请尝试导入/导出 CA 证书(Burp -> 代理 -> 选项 -> 导入/导出 CA 证书 -> 保存)并导入回您的浏览器。
对于 Android,由于安装用户证书的“传统”方式在 Nougat 及更高版本中不再适用,对我来说,最简单的解决方案是将 Burp CA 安装到系统受信任的证书中。您可以通过转到Settings -> Security -> Trusted Credentials and viewing system CAs 查看与 Android 设备捆绑的所有系统 CA。您将看到与浏览器捆绑包中类似的 CA。
适用于 Android 的可信 CA 以特殊格式存储在 /system/etc/security/cacerts 中。如果我们有 root 权限,就可以写入这个位置并放入 Burp CA(经过一些修改)。
生成和导入 CA 的具体步骤是here:
【讨论】: