Com importar el certificat HTTPS de Burp Suite a Windows

L'objectiu principal de Burp Suite és actuar com a servidor intermediari web amb el propòsit d'analitzar i modificar el trànsit web, generalment com a part d'una prova de penetració. Tot i que això és prou fàcil per al trànsit HTTP de text senzill, requereix una configuració addicional per poder interceptar el trànsit HTTPS sense errors constants de certificat.

Consell; Les proves de penetració són el procés de prova de la ciberseguretat de llocs web, dispositius i infraestructures intentant piratejar-la.

Per interceptar el trànsit HTTPS, Burp crea la seva pròpia autoritat de certificació al vostre dispositiu. Heu d'importar aquest certificat a la botiga de confiança del vostre navegador perquè el vostre navegador no generi errors de certificat.

Consell: l'ús de Burp Suite com a intermediari és essencialment que feu un atac MitM, o Man in the Middle, contra vosaltres mateixos. Heu de tenir en compte que Burp substituirà tots els certificats HTTPS pels seus. Això fa que sigui molt més difícil detectar atacs MitM genuïnament maliciosos, ja que no veureu cap error de certificat; tingueu-ho en compte si instal·leu i utilitzeu Burp Suite!

El primer pas per instal·lar l'autoritat de certificació de Burp és descarregar-lo. Per fer-ho, inicieu Burp i, a continuació, navegueu fins al port d'escolta del servidor intermediari, que per defecte és "127.0.0.1:8080". Un cop a la pàgina, feu clic a "Certificat CA" a l'extrem superior dret per descarregar el certificat "cacert.der".

Consell: probablement se us avisarà que el tipus de fitxer no és segur i podria danyar el vostre ordinador; haureu d'acceptar l'advertència.

Navegueu fins a l'escolta del proxy i descarregueu el certificat.

Per instal·lar el certificat a Windows, feu doble clic al fitxer descarregat "cacert.der" per executar-lo i acceptar l'avís de seguretat. A la finestra del visualitzador de certificats, feu clic a "Instal·la el certificat".

Feu doble clic al fitxer del certificat per executar-lo i, a continuació, feu clic a "Instal·la el certificat".

Trieu si voleu que el certificat sigui de confiança pel vostre usuari o per altres usos amb "Usuari actual" i "Màquina local" respectivament. Haureu de configurar manualment el certificat perquè es col·loqui en un magatzem de certificats específic, "Autoritats de certificació arrel de confiança". Un cop hàgiu acabat, feu clic a "Finalitzar" per importar el certificat.

Consell: perquè el canvi tingui efecte, haureu de reiniciar els navegadors. Això hauria d'afectar tots els navegadors del vostre ordinador, fins i tot Firefox, però, és possible que hàgiu d'afegir el certificat a navegadors específics si utilitzen el seu propi magatzem de confiança.

Instal·leu el certificat a la botiga "Autoritats de certificació arrel de confiança".

Si voleu interceptar el trànsit de xarxa des d'un altre dispositiu, haurà d'importar el vostre certificat Burp específic, en lloc d'un que genera ell mateix. Cada instal·lació, excepte les actualitzacions, genera un nou certificat. Aquest disseny fa que sigui molt més difícil que Burp sigui abusat per al seguiment massiu d'Internet.