burpsuite ios手机抓包ssl及证书问题

安装好火狐浏览器后,会提示ssl_error_weak_server_ephemeral_dh_key,而用IE没有提示,一般正常不会有这个提示,查探了下究竟是由于安装的jdk版本问题,如果安装的低版本的不会有这个提示,如果安装的是jdk高版本的话用火狐浏览器会有这个提示,具体版本号忘掉了。翻译过来提示的是不支持弱密钥,遇到这个问题,需要安装一个插件:
https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/
今天用IOS系统微信打开某https://hd.faisco.cn/****网站,发现抓不了包,解决这个的办法其一是在电脑下载电脑版微信客户端,电脑板客户端肯定是没有问题的了,可以抓到包,之前尝试过。搞半天,在同事的帮忙下,弄明白了原理,在这里也记录并分享下。
HTTPS分为单项认证和双向认证,单项认证只有在客户端有证书,双向认证是在客户端和服务端都要证书;客户端的单项证书,又分为对称加密和非对称加密。之前遇到的都是对称加密,burpsuite会自动伪造一个CA证书,碰到非对称加密的时候需要导入证书就是这次遇到的问题了。
首先用火狐打开目标网站,在下面会有添加例外按钮,点添加按钮的时候可以导出PortSwigger.der证书,然后本地搭建一个web站点,把证书放到web站点根目录,通过IOS内置手机浏览器访问http://192.168.1.11/PortSwigger.der,会直接提示安装,安装就好了,安装完了后,就可以正常抓这个站的包了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注