開啓burpSuite,瀏覽器設置代理之後,如果訪問使用https的網站時,會被卡住,告訴你“您的訪問不安全”之類的。簡單地說,這是證書與證書信任的問題,解決方法是下載burpSuite官方(也就是portSwigger)的證書,並信任它。官方指導:https://support.portswigger.net/customer/portal/articles/1783075-installing-burp-s-ca-certificate-in-your-browser 。
我用了三種瀏覽器的,firefox、IE、chrome,三種都解決了該問題。其中,chrome的設置不要去看,直接看IE的,因爲chrome使用的就是系統內置的認證管理(我這裏的系統內置就是指IE的那種),看chrome的話會讓你誤解的。
--------------------------------------------------------------------------------------------------------------------------------------------------------
心血來潮,下邊把這篇補充一下。[2017.04.08]
------------------------------------------------------------
一、證書問題
1、上邊簡單地說過,訪問被卡住是證書與證書信任的問題,那具體是什麼情況呢?
我們設置了一個“代理”,代理的意思就是說,A把本來要發送給B的流量先發送給C,C接收後,再發送給B(或者做其它操作,包括不操作)。這個過程中,C就是代理機器,它就是作了A與B的“代理”,當A發送流量給B時,C就是A的“代理髮送者”,同時是B的“代理接收者”,B發送給A時同理。
2、證書問題就是因爲在HTTPS/TLS模式下,瀏覽器發現A發送給B的流量並不是直接到達的,而是經過了一個C代理,它會質疑C的安全性(btw,中間人攻擊就是這樣的網絡架構),所以需要C出示證書證明自己是安全的,否則就卡住你(好像不同瀏覽器的執行情況是不同的,有些瀏覽器會讓流量通過,但是內容有限;有些直接卡住你,完全不讓你訪問)。。。然後,這時候要讓流量正常通過就需要按它的要求“C要出示自己的證書”,具體到操作上就是“安裝C的證書,以信任C是安全的” ,我們在設置burpsuite代理的時候,這個burpsuite就是代理者!也就是C!所以我們要安裝的證書就是burpsuite的證書。於是就有了上邊那些操作啦。
二、官方安裝證書方法
我把方法截圖展示一下,多少增加一點這篇文章的閱讀體驗,也順便做個二次資料存儲。
>Firefox
>IE
>Safari