freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Charles联动Burp实现高效率测试
2021-09-27 16:48:35

作者:平安@涂鸦智能安全实验室

前言


我们在进行APP服务端的测试时,可能会碰到明明APP没有进行双向认证的证书校验,使用Burpsuite进行抓包时,前端页面会加载很慢,甚至无法加载,其他数据包有些也无法完整的抓取。这时由于BurpSuite本身的一些机制等方面问题,抓包的性能确实没有Charles好,但Burp本身的测试功能又强大并且习惯于用来做Web安全测试。这时我们可以将BurpSuite和Charles结合使用。

原理就是,通过代理将移动端的数据包转发到Charles监听端口上,再通过Charles设置代理将包转发到Burpsuite上。

使用


直接使用Burp抓取App的数据包,可能会出现下图结果
image
等待一段时间后,还会出现丢包现象
image###Charles代理转发到Burp
需要下载Charles软件,官网下载的Charles每次打开只能使用30分钟然后需要重新打开,购买后才能正常使用。

下载后需要对Charles进行配置,Charles在抓包时,会显示中文乱码,需要在Proxy----SSL Proxying Setting进行添加
image配置完就能正常显示image关于Charles进行移动的抓包,网上有很多教程,可以参考这篇:
https://www.cnblogs.com/yuboyubo/p/9025808.html
如果只想要抓手机端的包,只需要在Prxoy中把Windows Proxy的勾选去掉

接下Charles开启代理转发到Burp上即可
Proxy----External Proxy Settings,都配置上Burp的本地监听端口,Web Proxy和Secure Web Proxy同样配置
image手机端的代理设置Charles,数据包经过Charles再转发到Burp,这样就能正常抓包了
image看下效果,再次抓包尝试
经测试,加载速度还是很快的,js都能完全加载出来
image在burp上也有数据包image


**漏洞悬赏计划:涂鸦智能安全响应中心(https://src.tuya.com)欢迎白帽子来探索。

招聘内推计划:涵盖安全开发、安全测试、代码审计、安全合规等所有方面的岗位,简历投递sec#tuya.com,请注明来源。**

# web安全 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录