昨天面試，技術(shù)官問到了我如何使用BurpSuite抓取https網(wǎng)站的數(shù)據(jù)包，一時間沒能回答上來(尷尬！)。因為以前https網(wǎng)站的數(shù)據(jù)包我都是用Fiddler抓取的，Fiddlert自動幫我們配置好了證書，所以就沒用BurpSuite抓取過，今天特意去學(xué)習(xí)了下如何使用BurpSuite抓取https網(wǎng)站的數(shù)據(jù)包。

關(guān)于HTTPS協(xié)議中證書的認證過程，傳送門——>HTTPS協(xié)議工作原理(SSL數(shù)字證書)

BurpSuite之所以不能抓取https數(shù)據(jù)包，是因為BurpSuite作為中間人代理，我們和https網(wǎng)站之間的數(shù)據(jù)通信都是由BurpSuite來代理的，而https通信是需要SSL證書的，BurpSuite的證書我們?yōu)g覽器默認是不信任的。所以要想實現(xiàn)BurpSuite抓取https的數(shù)據(jù)包，最關(guān)鍵的是讓瀏覽器信任BurpSuite的證書。

下面我以Firefox瀏覽器為例，演示如何讓Firefox信任BurpSuite的證書。

首先，打開BurpSuite，配置好代理。如果不知道怎么用BrupSuite的，移步——>?Burpsuite工具的使用

然后訪問??http://burp/? ?,下載BurpSuite的證書

下載到桌面后，得到的是一個 cacert.der?的文件，而并不是我們常見的 .cer?格式的證書，這是因為證書的編碼方式不一樣導(dǎo)致的，但是這并不影響我們后續(xù)的導(dǎo)入證書

然后我們在Firefox中打開設(shè)置——>選項——>高級——>證書——>查看證書——>證書機構(gòu)——>導(dǎo)入，選擇我們剛剛下載到桌面的證書，點擊打開

然后勾選信任由此證書頒發(fā)機構(gòu)標識的網(wǎng)站，點擊確定。

我們的BurpSuite的證書就導(dǎo)入進Firefox的可信任證書里面了。

當(dāng)我們訪問https的網(wǎng)站，比如百度的時候，可以發(fā)現(xiàn)，BurpSuite已經(jīng)能抓取數(shù)據(jù)包了。

對于其他的瀏覽器，比如chrome，QQ瀏覽器等，步驟都一樣，只是最后導(dǎo)入證書是導(dǎo)入進受信任的根證書頒發(fā)機構(gòu)。

總結(jié)

以上是生活随笔為你收集整理的使用BurpSuite抓取HTTPS网站的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。