iPhone上使用Burp Suite捕捉HTTPS通信包方法
前言:在使用Burp代理分析移动设备应用通信的时候,会遇到使用SSL/TLS的应用,这时候就会因为证书验证不通过而无法抓包分析,如下图所示,为在PC上使用burp代理分析iOS设备上facebook登陆通信时弹出的错误提示。
这时候就需要在移动设备上安装证书,使其信任Burp代理。下面介绍了如何导出Burp证书,安装Burp证书,并设置代理抓包的方法。
一、导出Burp证书
第一步:运行BurpSuite
java -jar burpsuite_pro_v1.4.07.jar
设置Proxy-options
第二步:打开firefox,设置Network Settings
第三步:在浏览器中输入https://www.facebook.com
点击Add Exception
点击View
选择PortSwigger CA,点击Export,导出证书(加上cer后缀是为了便于iOS设备识别)
二、在iOS设备上安装该证书
将该证书存放在网站目录里,然后通过设备浏览器访问该路径(e.g. http://10.0.0.4/PortSwiggerCA.cer),安装证书
三、设置iOS设备使用Mac上的BurpSuite代理
第一步:在mac上运行Burp,设置proxy options
第二步:设置iOS设备的HTTP代理
第三步:运行应用,分析通信包(下面是登陆facebook的通信包)
参考:
http://carnal0wnage.attackresearch.com/2010/11/iphone-burp.html
Loading...
活动预告
-
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气已结束 -
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)已结束 -
10月
【首节课仅需1元】挖掘CVE不是梦已结束 -
9月
【已结束】自炼神兵之自动化批量刷SRC已结束
已有 13 条评论
3Q //: 抄送
嘻嘻,这个是作业教了,还不知道会不会还给我们呢~
3Q 抄送
学习了.
学习勒
用burp 抓https 不错
如果不想每次测试不同产品都要导入一个证书,可以尝试一下ios-ssl-kill-switch,https://github.com/iSECPartners/ios-ssl-kill-switch。
@baile @碳基体 貌似不行,Safari貌似可以,但是APP Store不行,求指导
henhao
来围观一下,哈哈。。。学习了。。
kail里面的bt5抓包乱码,怎么解决啊
mark一下 学习了
burp suite 爬行https网站,感觉爬行不完全,怎么回事。。