一般国内的软件基本上采用http协议几年通信,但是对于银行等涉密APP现在基本上采用https协议。以前Charles工具只能抓取http包,当APP采用https协议时却无从下手,针对这情况,找到一款替代Chrales抓包的工具是目前趋势。下面总结了从环境搭建到Burpsuite抓包的全过程,希望对大家的测试工作起到帮助。
一. Java环境搭建
Java环境搭建是运行Burpsuite的前提,只有搭建好java环境才能看展后续工作,这里请读者自行搭建,不作详细描述。
二. Burpsuite下载安装
1. Burpsuite下载最常用的有两种方式,即官网下载和破解版安装,如果只针对于抓取https来说,我们在官网:https://portswigger.net/burp下载免费版即可(事情简单化原则)
2. 下载完成后,找到burpsuite_free_windows-x64_v1_7_21.exe文件,双击运行,一直下一步,安装完成
三. Proxy配置
1. 在开始菜单找到刚刚安装好的Burpsuite,点击【next】-【start Burp】如下图
2. 代理配置
a) 点击Proxy,点击Intercept is on按钮 (Intercept是用来拦截请求的,抓包通常不用)
a) 点击Options tab页,点击Add按钮
b) 填写代理端口Bind to port,通常用8080就行,不过要确保填写的端口本机没有占用; 点击Specific address下拉列表,选择本机做代理的ip地址,然后点击OK
确保刚刚添加的代理Running打钩。
四. 手机配置代理
进入网络设置-WLAN-长按连接网络选择【修改网络】-【高级选项】-代理(手动)、主机名(电脑ip地址)、端口(8080)-【保存】 ,代理配置成功
五. 手机下载证书安装
关于证书下载这部分,看到网上很多介绍使用firefox下载后转换,再传到手机端的方法,个人认为很麻烦,当你手机配置好代理手机浏览器访问 http://burp,然后点击 CA certificate进行安装CA证书。
完成以上5个步骤,就可以使用burpsuit抓取https数据包了,怎么样是不是很简便
