开启burpSuite,浏览器设置代理之后,如果访问使用https的网站时,会被卡住,告诉你“您的访问不安全”之类的。简单地说,这是证书与证书信任的问题,解决方法是下载burpSuite官方(也就是portSwigger)的证书,并信任它。官方指导:https://support.portswigger.net/customer/portal/articles/1783075-installing-burp-s-ca-certificate-in-your-browser 。
我用了三种浏览器的,firefox、IE、chrome,三种都解决了该问题。其中,chrome的设置不要去看,直接看IE的,因为chrome使用的就是系统内置的认证管理(我这里的系统内置就是指IE的那种),看chrome的话会让你误解的。
--------------------------------------------------------------------------------------------------------------------------------------------------------
心血来潮,下边把这篇补充一下。[2017.04.08]
------------------------------------------------------------
一、证书问题
1、上边简单地说过,访问被卡住是证书与证书信任的问题,那具体是什么情况呢?
我们设置了一个“代理”,代理的意思就是说,A把本来要发送给B的流量先发送给C,C接收后,再发送给B(或者做其它操作,包括不操作)。这个过程中,C就是代理机器,它就是作了A与B的“代理”,当A发送流量给B时,C就是A的“代理发送者”,同时是B的“代理接收者”,B发送给A时同理。
2、证书问题就是因为在HTTPS/TLS模式下,浏览器发现A发送给B的流量并不是直接到达的,而是经过了一个C代理,它会质疑C的安全性(btw,中间人攻击就是这样的网络架构),所以需要C出示证书证明自己是安全的,否则就卡住你(好像不同浏览器的执行情况是不同的,有些浏览器会让流量通过,但是内容有限;有些直接卡住你,完全不让你访问)。。。然后,这时候要让流量正常通过就需要按它的要求“C要出示自己的证书”,具体到操作上就是“安装C的证书,以信任C是安全的” ,我们在设置burpsuite代理的时候,这个burpsuite就是代理者!也就是C!所以我们要安装的证书就是burpsuite的证书。于是就有了上边那些操作啦。
二、官方安装证书方法
我把方法截图展示一下,多少增加一点这篇文章的阅读体验,也顺便做个二次资料存储。
>Firefox
>IE
>Safari
