首页 > 其他分享 >Burp Suite为何能抓到HTTPS的明文流量,Wireshark可以吗,公司电脑的加密流量也是被监控了吗?

Burp Suite为何能抓到HTTPS的明文流量,Wireshark可以吗,公司电脑的加密流量也是被监控了吗?

时间:2024-10-13 20:18:28浏览次数:11  
标签:浏览器 证书 流量 Burp HTTPS Suite 拦截

在前期博文《万字图文详解HTTPS协议通信过程,结合抓包实战解析带你一次看透HTTPS!》中,我们知悉HTTPS通信内容是用会话密钥加密的,但不少细心的读者存在疑问:为何对于使用HTTPS协议的站点,在Burp Suite中拦截到的数据包却是“明文传输”的?如下图所示,这又是什么原理呢?那公司电脑的HTTPS流量是否也被监控了呢?…

在这里插入图片描述

为了让大家容易理解文章内容,博主先举一个实际案例进行演示说明,基于实际情况再进行分析解疑。

1. 实测场景说明

登录到百度首页(地址:https://www.baidu.com),点击右上角的登录按钮,输入用户名和密码后执行登录,我们接下来就拦截当前登录请求,看看用户名和密码到底是什么形式传输的。

在这里插入图片描述

这里注意一点,百度系网站执行登录时会统一跳转到百度账号认证网站https://passport.baidu.com进行登录认证,可在CMD窗口中执行ping命令,获得认证站点的IP地址36.155.132.75,记住此IP,接下来会用到。

在这里插入图片描述

2. Wireshark直接抓包https通信内容是密文根本看不懂

在博主前期文章中已经介绍了HTTPS的工作原理,我们知道所有HTTPS传输的报文信息在Wireshark中均标识为Application Data。

我们拦截了上面百度账号登录的数据包,在WireShark的显示过滤中输入ip.dst==36.155.132.75过滤出我们发送给百度认证服务器的数据包记录,可以发现所有请求均为密文,我们随便打开一个Application Data数据包,内容如下:

在这里插入图片描述

继续选择任意协议为TLSv1.2的数据包记录后右击选择『追踪流(Follow)』->『TCP流(TCP Stream)』,发现数据均经过加密,我们根本看不懂:

注:如果对Wireshark工具不会使用,可以参阅《通过15张图带你掌握网络抓包工具Wireshark必备使用技巧》快速入门上手。

实测结论1:如果直接使用WireShare嗅探HTTPS协议的数据包,我们就会看到TLS携带的Data都是密文,是无法拿到明文数据的。

3. BurpSuite抓包https通信内容是明文可以看懂

接下来针对以上场景,我们使用Burp Suite工具抓包,抓包前需要先跳转到『代理』>『拦截』选项卡,将『拦截切换』设置为“拦截”启用状态。

启用拦截

单击『打开浏览器(Open browser)』启动Burp内置浏览器,该浏览器已预先配置为开箱即用。当然,大家也可以拦截自己电脑上安装的浏览器请求,不过这需要多做一些额外配置(如安装Burp的CA证书、配置浏览器代理等)。不论哪种方式,都不会影响我们这次要介绍的主要内容。

在这里插入图片描述

打开浏览器后,地址栏输入我们实测的网址,访问成功后可以看到地址栏最前面多出了一个Burp的图标,点击后可以看到提示:当前百度站点正在被Burp Suite代理。

在这里插入图片描述

在上图右上角选择登录,可以在『代理』>『拦截』选项卡上看到被拦截的登录请求。

在这里插入图片描述

上面拦截到的密码其实是经过前端处理后的,我们查看前端代码其实可发现该HTTP站点确实对账户密码做了前端加密后再进行传输,对应的加密密钥在前端代码中也可以看到。

在这里插入图片描述

在前端对密码进行加密,即使https流量被嗅探后也无法解密得到原始密码。可见百度对安全考虑还是比较细致的。

到这里我们已经非常确认Burp Suite是可以解密HTTPS流量的,所以Burp Suite一定是有解密的密钥,具体是如何做到的呢?

实际上Burp Suite就是模拟了MITM(Man in the Middle,中间人)攻击,你还记得上面地址栏看到默认安装的Burp Suite CA证书吧。好奇的你也一定会问为什么需要安装Burp的CA证书?

为了拦截浏览器和目标web服务器之间的流量,Burp会切断浏览器与目标站点的HTTPS连接(模拟中间人攻击)。因此,如果我们想在Burp运行时尝试访问HTTPS URL,我们的浏览器将检测到它没有直接与真实的web服务器通信,会显示安全警告。

未安装Burp CA证书风险提示

为了防止此问题,Burp会为每个主机生成自己的TLS证书,并由自己的证书颁发机构(CA)签名。此CA证书在第一次启动Burp时生成,并存储在本地,此证书对应的私钥也会存储在本地计算机上(也可以在界面上单独导出)。为了在HTTPS网站上最有效地使用Burp Proxy,需要将此证书作为受信任的根安装在浏览器的信任存储中(Burp的默认内置浏览器中已经帮我们做好了这一步操作)。

Burp Suite证书导出界面(含私钥)

Burp将使用此CA证书为你访问的每个主机创建并签署TLS证书,允许你正常浏览HTTPS URL。最后我们就可以使用Burp查看和编辑通过HTTPS发送的请求和响应,就像处理任何其他HTTP消息一样。

Burp使用自己的CA给百度签署的TLS证书

实测结论2:Burp Suite能抓到HTTPS协议的明文内容是因为Burp Suite在浏览器上安装了自己的CA证书,并作为中间人(MITM)分别与客户端、服务端建立起了HTTPS通道,作为中间人,Burp Suite自然能够获取到所有的明文内容。具体原理可以参见下图:

Burp作为中间人获取明文流量的原理

说明:在浏览器上提前安装并信任Burp CA证书是Burp实施流量代理的关键环节,否则客户端不信任中间人,就无法实施HTTPS流量拦截了。

扩展问题1:我们知道,浏览器在接收到服务端发送回来的密文数据之后,会使用存储在本地的秘钥对数据进行解密。那么,WireShark能否也利用此秘钥来实现HTTPS站点的密文自动解密呢?

扩展问题2:公司/企业考虑到安全防护和信息泄露等问题,一般也会通过代理方式(类似于Burp)解密HTTPS流量,你的所有上网行为(包括各个社区、平台等的用户账户、密码等)都是可监控的。快来看看你在公司电脑上访问外部Https网站时,浏览器地址栏前面的证书是不是你公司自己颁发的吧?如果是,你的上网行为一定要谨慎,别乱看一些乱七八糟的站点,背后有一双

标签:浏览器,证书,流量,Burp,HTTPS,Suite,拦截
From: https://blog.csdn.net/u013129300/article/details/142579830

相关文章

  • http与https
    1、HTTPHTTP:超文本传输协议,默认端口号是80超文本:是指超过文本,不仅限于文本;还包括图片、音频、视频等文件。传输协议:是指使用共用约定的固定格式来传递转换成字符串的超文本内容2、HTTPSHTTP+SSL(安全套接字层),即带有安全套接字层的超本文传输协,默认端口号:443SSL对传输......
  • Burp Suite的标签了解
    burpsuite是一款集成了多种功能的Web应用渗透测试工具,可以帮助测试人员对Web应用进行拦截、分析、修改、重放、扫描、爆破、模糊测试等操作,从而发现和利用Web应用种的漏洞基础用法Dashboard标签:显示burpsuite的仪表盘,可以通过它进行漏洞扫描,但是该功能仅限付费版使用左......
  • Windows Server 2008R2服务器 IIS7.0 安装SSL证书并绑定https
    本例以阿里云服务器来解说,本服务器为WinodwsServer2008R2(一般现在至少是2012版本了)默认IIS为7.0第一步:在阿里云上申请好证书并下载IIS版本,下载后上传到服务器中,如下图:第二步:导入证书在服务器按Win+R键,打开运行。输入mmc,单击确定,打开Windows服务器控制台(MMC,MicrosoftMa......
  • 只需2招,教你打造百万级别的私域流量池
    其实最近有很多学员都在问我怎么做私域流量,但是我想说的是:私域流量,这四个字说出来很容易,其中包含的内容太多了,包括社群社区、用户运营、复购、转介绍、搭建跟用户沟通的渠道等等,这些都只是私域流量中的某个环节。单凭几千个文字根本说不透怎么做私域流量,但是既然网友都在问,那......
  • 内核级流量治理引擎Kmesh八大新特性解读
    本文分享自华为云社区《内核级流量治理引擎Kmeshv0.5发布!进击的Sidecarless服务网格》,作者:云容器大未来。我们非常高兴地宣布Kmeshv0.5.0的发布。首先,感谢我们的贡献者在过去两个月中的辛勤工作。在v0.5.0版本中,我们进行了许多重要的增强,包括命令行工具kmeshctl、更全面......
  • 修复HTTPS升级后出现 Mixed Content: The page at 'https://xxx' was loaded over HTT
    背景由于需要使用摄像头拍照,需要将原来的http升级到https,通过一顿捣鼓,升级成功。不过页面加载出现了问题,具体的提示是说:你的页面是在https环境,但是你访问了一个资源(我这里是iframe,也可能是stylesheet等其他资源),而这个资源是在http环境下的,浏览器不给你这样玩。https只能访问h......
  • 2024最新免费申请一年期HTTPS证书方法!
    2023年11月中旬,阿里云和华为云首先宣布不再提供一年期免费SSL证书,改为提供三个月有效期的证书。腾讯云也在2024年3月中旬跟进,取消了免费一年期SSL证书的供应。目前,虽然免费一年期SSL证书已经不多见,但还有一些平台如JoySSL提供无限制的免费一年期SSL证书申请,包括单域名证书、......
  • 宝塔开启ssl后https访问不了
    宝塔面板开启SSL后如果出现HTTPS访问不了的情况,可以按照以下步骤进行排查和解决:检查证书是否正确安装:确认SSL证书是否已经正确安装并配置到对应的站点上。检查证书文件(通常包括公钥证书.crt文件和私钥.key文件)是否完整且无误。检查域名解析:确保你的域名已经正确解析到......
  • git push 提示 401 Unauthorized while accessing https 的原因及解决方法
       问题报错:error:TherequestedURLreturnederror:401Unauthorizedwhileaccessinggit版本:1.7.1解决方法一:指定用户gitclonehttps://github.com/org/project.git换成gitclonehttps://[email protected]/org/project.git或者gitclonehttps://username:passw......
  • 【网络】初识https协议加密过程
    初识https协议加密过程为什么不用http而要使用https常见的加密方式对称加密非对称加密数据摘要&&数据指纹https的工作过程探究方案一:只使用对称加密方案二:只使用非对称加密方案三:双方都使用对称加密方案四:非对称加密+对称加密中间人攻击如何确认密钥是否被修改理解数......