Primárním cílem Burp Suite je fungovat jako webový proxy pro účely analýzy a úpravy webového provozu, obecně jako součást penetračního testu. I když je to dostatečně snadné pro provoz HTTP ve formátu prostého textu, vyžaduje další nastavení, aby bylo možné zachytit provoz HTTPS bez neustálých chyb certifikátu.
Spropitné; Penetrační testování je proces testování kybernetické bezpečnosti webových stránek, zařízení a infrastruktury pokusem o jejich hacknutí.
Pro zachycení HTTPS provozu si Burp na vašem zařízení vytvoří vlastní certifikační autoritu. Tento certifikát musíte importovat do důvěryhodného úložiště vašeho prohlížeče, aby váš prohlížeč negeneroval chyby certifikátu.
Tip: Použití Burp Suite jako proxy v podstatě znamená, že na sebe zaútočíte MitM neboli Man in the Middle. Měli byste si být vědomi toho, že Burp nahradí všechny HTTPS certifikáty svými vlastními. Díky tomu je mnohem těžší si všimnout skutečně škodlivých útoků MitM, protože neuvidíte žádné chyby certifikátu – uvědomte si to, pokud si nainstalujete a používáte Burp Suite!
Prvním krokem k instalaci certifikační autority Burp je její stažení. Chcete-li tak učinit, spusťte Burp a poté přejděte na port proxy listener, který má výchozí hodnotu „127.0.0.1:8080“. Jakmile jste na stránce, klikněte na „Certifikát CA“ v pravém horním rohu a stáhněte si certifikát „cacert.der“.
Tip: Pravděpodobně budete varováni, že typ souboru není bezpečný a mohl by poškodit váš počítač, budete muset varování přijmout.
Chcete-li certifikát nainstalovat ve Windows, poklepejte na stažený soubor „cacert.der“, spusťte jej a přijměte bezpečnostní varování. V okně prohlížeče certifikátů klikněte na „Instalovat certifikát“.
Vyberte, zda chcete, aby byl certifikát důvěryhodný pro vašeho uživatele nebo pro jiné použití s „Aktuálním uživatelem“ a „Místním počítačem“. Budete muset ručně nastavit certifikát tak, aby byl umístěn do konkrétního úložiště certifikátů „Důvěryhodné kořenové certifikační úřady“. Jakmile budete hotovi, kliknutím na „Dokončit“ importujte certifikát.
Tip: Aby se změna projevila, budete muset restartovat prohlížeče. To by se mělo týkat všech prohlížečů ve vašem počítači, dokonce i Firefoxu, ale pokud používají vlastní úložiště důvěryhodnosti, možná budete muset přidat certifikát do konkrétních prohlížečů.
Pokud chcete zachytit síťový provoz z jiného zařízení, bude muset importovat váš specifický certifikát Burp, nikoli ten, který si sám vygeneruje. Každá instalace, s výjimkou aktualizací, generuje nový certifikát. Tento design značně ztěžuje zneužití Burpa pro hromadné sledování internetu.