【网络】Burpsuite学习笔记

视频地址

1.介绍

1.1 正常客户端与服务端通信&BurpSuite代理后

1.2 下载激活参考地址

渗透工具–Burp Suite简介、下载和安装
或
靶机、软件搭建:05—Burp Suite工具的安装与使用（Windows环境）

1.3 代理设置

火狐插件网站

1. Proxy SwitchyOmega插件
2. FoxyProxy插件

1.4 Proxy SwitchyOmega 使用

1.4.1 新建情景模式

1.4.2 设置代理

1.4.2 应用选项

1.5 FoxyProxy 使用

1.6 安装证书

上述设置burpsuite只能抓http包，但无法抓https包，https需要证书才能正常抓取，因为burpsuite不是合法的数字证书认证机构（Certificate authority,即CA)，要想抓取https包，就要让burpsuite伪造的公钥证书得到看客户端的验证并信任，所以就需要你在客户端（手机/浏览器）装“证书”了，这个“证书”叫【根证书】，是用来验证客户端得到证书是合法的。
获取证书：两种方法任选一种（推荐第一种，第一种简单）

1.6.1 方式一

打开bp（burpsuite）,开启浏览器代理，然后访问http://burp,然后下载

1.6.2 方式二

bp直接导出证书：打开bp,单机proxy->options->import/export CA certificate; 在弹出的对话框中选择Export->Certificate in DER format，然后点击Next，命名cacert.der

1.6.3 浏览器安装证书

1. 浏览器安装证书： 以火狐浏览器为例，打开设置->隐私与安全->证书->查看证书，然后再“证书颁发机构”一栏，选择导入刚才下载的证书

1.6.4 或者直接双击证书安装

选择证书存储为：受信任的根证书颁发机构

2. burpsuite使用

2.1 介绍