iPhone上使用Burp Suite捕捉HTTPS通信包方法

2012-12-26 1040379人围观 ,发现 13 个不明物体 WEB安全终端安全
前言:在使用Burp代理分析移动设备应用通信的时候,会遇到使用SSL/TLS的应用,这时候就会因为证书验证不通过而无法抓包分析,如下图所示,为在PC上使用burp代理分析iOS设备上facebook登陆通信时弹出的错误提示。
这时候就需要在移动设备上安装证书,使其信任Burp代理。下面介绍了如何导出Burp证书,安装Burp证书,并设置代理抓包的方法。
一、导出Burp证书

第一步:运行BurpSuite 

java -jar burpsuite_pro_v1.4.07.jar

设置Proxy-options

第二步:打开firefox,设置Network Settings

 

 第三步:在浏览器中输入https://www.facebook.com

点击Add Exception

点击View

选择PortSwigger CA,点击Export,导出证书(加上cer后缀是为了便于iOS设备识别)

  
二、在iOS设备上安装该证书
将该证书存放在网站目录里,然后通过设备浏览器访问该路径(e.g. http://10.0.0.4/PortSwiggerCA.cer),安装证书
三、设置iOS设备使用Mac上的BurpSuite代理
第一步:在mac上运行Burp,设置proxy options

 

第二步:设置iOS设备的HTTP代理
 

 第三步:运行应用,分析通信包(下面是登陆facebook的通信包)

参考:

http://carnal0wnage.attackresearch.com/2010/11/iphone-burp.html

更多精彩
相关推荐

新手教程:如何使用Burpsuite抓取手机APP的HTTPS数据

Android安全开发之安全使用HTTPS

如何使用Burp和Magisk在Android 7.0监测HTTPS流量

如何在macOS上监听单个应用HTTPS流量

技术讨论 | 四种绕过iOS SSL验证和证书固定的方法

使用Frida绕过Android App的SSL Pinning

如何在Android Nougat中正确配置Burp Suite?

分享一个近期遇到的逻辑漏洞案例

发表评论

已有 13 条评论

表情插图
取消
Loading...
碳基体

混迹于安全圈的萌妹子

27 文章数 12 评论数 5 关注者

最近文章

大数据安全分析漫谈

2015.06.02

ModSecurity技巧:使用ssdeep检测Webshell

2014.12.16

如何打造一款可靠的WAF(Web应用防火墙)

2014.12.15

浏览更多

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    官方QQ群 FreeBuf官方微博

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位

    本站由阿里云 提供计算与安全服务

    官方QQ群:590717869

    用户服务

    企业服务

    合作信息

    关于我们

    战略伙伴

    FreeBuf+小程序

    扫码把安全装进口袋

    Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved  沪公网安备 31011502009321号

    css.php