Настройка Burp Suite и Firefox

Burp Suite является интегрируемой платформой для проведения тестов веб-приложений на безопасность. Платформа включает в себя различные инструменты, как для начального тестирования до анализа уязвимостей и проведения атаки.

Самое главное, что Burp Suite позволяет объединить ручные и автоматические методы, для вычисления, анализа, сканирования и атаки веб-приложений.

Burp Suite позволяет нам направить весь веб-трафик из браузера через него, так что мы сможем увидеть каждый HTTP-запрос и ответ, а так же манипулировать его содержанием. В этой статье я расскажу как нам "подружить" Burp Suite и Firefox или Iceweasel в Kali Linux или Backtrack.

Запускаем Firefox и переходим в настройки (Edit -> Preferences)

В окне настроек переходим в Дополнительно -> Сеть -> Настройки соединения(Advance → Network → Setting)

Выставляем ручные настройки прокси как на скриншоте

Теперь запускаем Burp Suite Application → Kali Linux → Web Application → Web Vulnerability Scanners → burpsuite (или выполняем в терминале команду burpsuite.jar)

При первом запуске Burp Suite появится лицензионное соглашение, которое мы с радостью принимаем

Отлично, Burp Suite запущен. Сейчас переходим на вкладку Proxy и переходим на подзакладку Option и внимательно смотрим, чтобы напротив локального адреса стояла галочка.

На этой же закладке опускаемся ниже, и выставляем настройки как на скриншоте

Далее выбираем строку File Extension и жмем кнопку Edit

В открывшемся окне ставим настройки как на скриншоте

Сохраняемся, и попадаем обратно на Proxy -> Options, здесь кликаем кнопку Add и создаем новое правило с настройками как на скриншоте ниже.

Далее поднимаем созданное правило на вторую строку, см.скриншот

Должно в итоге получиться так

Далее запускаем Firefox и открываем google.com, т.к. соединение с ним будет идти через https, нам будет показано предупреждение. Кликаем на "I Understand risk".

Далее жмем Add Exception

Жмем View

Переходим на вкладку Details и жмем Export

Далее выбираем куда сохранить полученный сертификат (например, на рабочий стол - Desktop)

Далее, опять идем в настройки Firefox

Переходим в расширенные настройки, в шифрование и открываем просмотр сертификатов (View certificates)

Открываем вкладку Authorities и жмем Import

Открываем сохраненный ранее сертификат

В новом окне выставляем настройки как на скриншоте

Теперь, если полистать список сертификатов то мы увидим только что добавленный сертификат

Теперь необходимо отключить безопасный просмотр, т.к. он может создавать лишний трафик во время тестов сайта Google.com для этого снимаем галку с пункта "Block Reported Attack sites" и с "Block Reported web forgeries" на вкладке "Безопасность" в настройках Firefox.

Настройка и подготовка закончена, в следующей статьей перейдем к работе с Burp Suite. Удачи!