burpsuite手机APP抓取burpsuite手机APP抓取APP的打包准备条件操作流程1 .电脑端或手机下载burpsuite证书2 .将下载的证书传输到手机上进行安装。 3 .手机端设置代理4。 向burpsute添加代理网页安全证书为什么要在burpsuite中抓住包,需要在证书SSL中安装公钥算法和会话密钥
burpsuite是手机APP抓包抓包准备条件手机和电脑连接同一网段(手机和电脑连接同一WIFI ) )手机代理指向电脑IP,端口为8080的手机连接WWI
在火狐浏览器中输入http://burp下载
直接通过burpsuite软件导出
2 .把下载的证书交给手机,安装。
3 .要在手机端安装代理,手机和电脑必须在同一个网段上。 然后,在手机上将代理的IP地址设定为电脑侧的IP地址。
将代理IP作为电脑侧的IP添加到burpsute中
成功抓到手机上的包
web安全证书SSLsecuresocketslayer为传输层提供了安全的APP应用协议,解决了internet服务站点标识、敏感和隐私信息的加密传输问题。 SSL部署的一个重要部分是申请和配置SSL网站安全证书“认证SSL”。 决定购买哪个SSL网站的安全证书不仅涉及技术问题,还涉及公司战略、服务意识、管理等一系列问题
互联网发展初期,APP应用层协议http、smtp、ftp均采用明文数据,未采用加密措施
它是在传输通信协议(TCP/IP )上实现的安全协议,采用公钥技术,用于TCP/IP连接的数据加密、服务器验证、消息完整性和可选客户端
为什么需要在burpsuite中抓住包? 由于需要安装证书是因为离开了代理,引起了客户端(浏览器)的怀疑,因此需要在证书管理器中进行检查,以确认浏览的网站是否记录在数字证书中
如果不安装证书,被捕的软件包将被加密
1. 不安装证书,去访问一个页面,用burpsuite抓包,是下面这种情况
2. 在浏览器导入证书机构
3. 首先burpsuite抓包www.baidu.com
由于此网站使用HTTP严格传输安全(HSTS ),因此Firefox仅需要安全连接。 因此,不能向此证书添加异常。 在、
所以抓不到包
4. 对www.iqiyi.com抓包可以获取数据并放行
作为SSL中涉及公钥算法和会话密钥SSL协议的加密的一部分,有两个加密位数。 一个是证书公钥位数,分为512位、1024位和2048位,主流是1024位。 一个示例是会话私钥(对称密钥)的比特数,将其分为40比特、128比特和256比特,其中,主流是128比特。
公钥算法主要用于加密会话私钥,其中会话私钥在建立SSL会话后加密会话内容,
会话私钥的长度与浏览器支持的密钥长度有关。 微软的IE系列浏览器有40位和128位两种类型,例如firefox可以支持256位会话私钥。
主流的关键长度是技术水平,解读难度相当大,暴力解读需要相当长的时间。 SSL会话的私钥是一次性的,有效期短,因此很少可能被暴力破解。 加密过程需要消耗服务器资源,密钥长度增加,同时性能负载也很大。 如果假定主流密钥的长度能够提供足够的安全性,则密钥的长度增加只会增加不必要的负载。
##SSL加密过程
服务器端向客户端发送消息时,只要在签名的同时附加CD,客户端就可以获得CD (数字证书)的公钥。 然后解密CA,获得服务器端真正公钥客户端(浏览器)的“证书管理器”。 有“受信任的根证书颁发机构”的列表。 当客户端解密CD以获得公钥时,它会根据此列表检查公钥是否在列表中。 如果数字证书可信,客户端可以使用证书上的服务器公钥加密信息,并与服务器交换加密的信息。 如果数字证书上的网站与正在浏览的网站不匹配,则该证书可能被滥用,浏览器会发出警告。
如果此数字证书不是由受信任机构颁发的,浏览器将发出另一个警告。