Burp Suite-ის ძირითადი აქცენტია იმოქმედოს როგორც ვებ პროქსი, ვებ ტრაფიკის ანალიზისა და შეცვლის მიზნით, ზოგადად, როგორც შეღწევადობის ტესტის ნაწილი. მიუხედავად იმისა, რომ ეს საკმარისად მარტივია მარტივი ტექსტური HTTP ტრაფიკისთვის, ის მოითხოვს დამატებით კონფიგურაციას, რათა შეძლოს HTTPS ტრაფიკის ჩაჭრა მუდმივი სერტიფიკატის შეცდომების გარეშე.
რჩევა; შეღწევადობის ტესტირება არის ვებსაიტების, მოწყობილობების და ინფრასტრუქტურის კიბერუსაფრთხოების ტესტირების პროცესი მისი გატეხვის მცდელობით.
HTTPS ტრაფიკის გადასაჭრელად, Burp ქმნის საკუთარ სერტიფიკატს თქვენს მოწყობილობაზე. თქვენ უნდა შემოიტანოთ ეს სერტიფიკატი თქვენი ბრაუზერის ნდობის მაღაზიაში, რათა ბრაუზერმა არ შექმნას სერტიფიკატის შეცდომები.
რჩევა: Burp Suite-ის მარიონეტად გამოყენება არსებითად თქვენ ახორციელებთ MitM-ს, ანუ Man in Middle-ს, თავდასხმას საკუთარ თავზე. უნდა იცოდეთ, რომ Burp ჩაანაცვლებს ყველა HTTPS სერთიფიკატს თავისით. ეს ბევრად ართულებს ჭეშმარიტად მავნე MitM შეტევების შემჩნევას, რადგან ვერ ნახავთ სერტიფიკატის შეცდომებს – გაითვალისწინეთ ამის შესახებ, თუ დააინსტალირებთ და იყენებთ Burp Suite-ს!
პირველი ნაბიჯი Burp-ის სერტიფიკატის ავტორიტეტის დასაყენებლად არის მისი ჩამოტვირთვა. ამისათვის გაუშვით Burp, შემდეგ დაათვალიერეთ პროქსი მსმენელის პორტი, რომელიც ნაგულისხმევია "127.0.0.1:8080". გვერდზე გადასვლის შემდეგ, დააწკაპუნეთ „CA სერთიფიკატზე“ ზედა მარჯვენა კუთხეში, რომ ჩამოტვირთოთ სერთიფიკატი „cacert.der“.
რჩევა: თქვენ ალბათ გაფრთხილებთ, რომ ფაილის ტიპი სახიფათოა და შეიძლება ზიანი მიაყენოს თქვენს კომპიუტერს, თქვენ უნდა დაეთანხმოთ გაფრთხილებას.
სერთიფიკატის Windows-ში დასაინსტალირებლად, ორჯერ დააწკაპუნეთ ჩამოტვირთულ ფაილზე „cacert.der“ გასაშვებად და მიიღეთ უსაფრთხოების გაფრთხილება. სერტიფიკატის მაყურებელ ფანჯარაში დააწკაპუნეთ "სერთიფიკატის დაყენება".
აირჩიეთ, გსურთ, რომ სერთიფიკატი იყოს სანდო თქვენი მომხმარებლის მიერ, თუ სხვა გამოყენების შემთხვევაში, შესაბამისად „მიმდინარე მომხმარებელი“ და „ადგილობრივი მანქანა“. თქვენ მოგიწევთ ხელით დააყენოთ სერთიფიკატი, რომელიც განთავსდება სერტიფიკატების კონკრეტულ მაღაზიაში, "სანდო ძირეული სერტიფიკაციის ორგანოები". ერთხელ, დააწკაპუნეთ „დასრულება“ სერთიფიკატის იმპორტისთვის.
რჩევა: ცვლილების ძალაში შესვლისთვის, თქვენ უნდა გადატვირთოთ თქვენი ბრაუზერები. ეს გავლენას მოახდენს თქვენს კომპიუტერზე არსებულ ყველა ბრაუზერზე, Firefox-საც კი, თუმცა, შეიძლება დაგჭირდეთ სერთიფიკატის დამატება კონკრეტულ ბრაუზერებზე, თუ ისინი იყენებენ საკუთარ ნდობის მაღაზიას.
თუ გსურთ ქსელის ტრაფიკის ჩარევა სხვა მოწყობილობიდან, მას მოუწევს თქვენი კონკრეტული Burp სერთიფიკატის იმპორტი და არა ის, რომელიც თავად გამოიმუშავებს. ყოველი ინსტალაცია, განახლებების გამოკლებით, ქმნის ახალ სერტიფიკატს. ეს დიზაინი ბევრად ართულებს Burp-ის ბოროტად გამოყენებას მასობრივი ინტერნეტ მონიტორინგისთვის.