Primarni poudarek Burp Suite je delovati kot spletni proxy za namene analize in spreminjanja spletnega prometa, na splošno kot del testa penetracije. Čeprav je to dovolj enostavno za promet HTTP z navadnim besedilom, je potrebna dodatna nastavitev, da lahko prestrežete promet HTTPS brez stalnih napak v potrdilu.
Nasvet; Preskušanje penetracije je postopek testiranja kibernetske varnosti spletnih mest, naprav in infrastrukture s poskusom vdora.
Za prestrezanje prometa HTTPS Burp v vaši napravi ustvari lastno potrdilo. To potrdilo morate uvoziti v shrambo zaupanja brskalnika, da vaš brskalnik ne ustvarja napak v potrdilu.
Nasvet: Uporaba Burp Suite kot proxyja v bistvu pomeni, da izvajate MitM ali Man in the Middle, napad na sebe. Zavedati se morate, da bo Burp vsa potrdila HTTPS zamenjala s svojimi. Zaradi tega je veliko težje opaziti resnično zlonamerne napade MitM, saj ne boste videli nobenih napak v potrdilih – bodite pozorni na to, če namestite in uporabljate paket Burp Suite!
Prvi korak za namestitev Burpovega overitelja potrdil je, da ga prenesete. Če želite to narediti, zaženite Burp, nato pa poiščite vrata poslušalca proxy, ki so privzeto nastavljena na »127.0.0.1:8080«. Ko ste na strani, kliknite »Certifikat CA« v zgornjem desnem kotu, da prenesete potrdilo »cacert.der«.
Namig: verjetno boste opozorjeni, da vrsta datoteke ni varna in bi lahko škodovala vašemu računalniku, zato boste morali sprejeti opozorilo.
Če želite namestiti potrdilo v sistemu Windows, dvokliknite preneseno datoteko “cacert.der”, da jo zaženete in sprejmete varnostno opozorilo. V oknu pregledovalnika potrdil kliknite »Namesti potrdilo«.
Izberite, ali želite, da vaš uporabnik zaupa potrdilu ali za druge namene s »Trenutni uporabnik« oziroma »Lokalni stroj«. Potrdilo boste morali ročno nastaviti v določeno shrambo potrdil, »Zaupanja vredni korenski certifikacijski organi«. Ko končate, kliknite »Dokončaj«, da uvozite potrdilo.
Nasvet: da bo sprememba začela veljati, boste morali znova zagnati brskalnike. To bi moralo vplivati na vse brskalnike v vašem računalniku, tudi Firefox, vendar boste morda morali dodati potrdilo določenim brskalnikom, če uporabljajo lastno shrambo zaupanja.
Če želite prestreči omrežni promet iz druge naprave, bo morala ta uvoziti vaše specifično potrdilo Burp in ne tistega, ki ga ustvari sam. Vsaka namestitev, razen posodobitev, ustvari novo potrdilo. Ta zasnova močno otežuje zlorabo Burpa za množično spremljanje interneta.