关于Brup
Brup 是一个可用于执行Web应用程序安全测试的集成平台。可以拦截HTTPS请求,修改浏览器与目标应用程序之间的通信。类似软件还有Fiddler,但是需要安装该软件。Brup免费版是一个jar,可以用于Java环境下直接执行。
一些问题
IE中设置代理时,需要设置全局代理
IE中即是设置局域网(LAN)设置。
可排除例外:ctldl.windowsupdate.com;api.bing.com;.microsoft.com;.verisign.com
安装Brup软件证书到 受信任的根证书颁发机构
开启Brup软件时,使用系统管理员打开IE,输入
http://burp/cert
,可下载cert.der,然后选中安装到受信任的根证书颁发机构。在警告信息中找到Brup证书,签发者为
PortSwigger CA
,安装到受信任的根证书颁发机构。
HTTPS仍握手失败 handshake_failure
已经添加Brup证书仍然提示HTTPS握手失败时Received fatal alert: handshake_failure
,检查Burp中的Alerts标签页,查看第一次出现失败提示的下方,是否有提示下载并安装不受限的JCE。
1 | Attempting to auto-select SSL parameters for <FQDN> |
若有,则下载并解压。
jdk6中的不受限JCE
jdk7中的不受限JCE
jdk8中的不受限JCE
替换掉使用Java版本中的jre/lib/security
路径下的local_policy.jar
和US_export_policy.jar
两个jar包即可。替换前最好先备份一下。