使用Brup拦截HTTPS请求时候的一些问题

关于Brup

Brup 是一个可用于执行Web应用程序安全测试的集成平台。可以拦截HTTPS请求,修改浏览器与目标应用程序之间的通信。类似软件还有Fiddler,但是需要安装该软件。Brup免费版是一个jar,可以用于Java环境下直接执行。

一些问题

IE中设置代理时,需要设置全局代理

IE中即是设置局域网(LAN)设置。
可排除例外:ctldl.windowsupdate.com;api.bing.com;.microsoft.com;.verisign.com

安装Brup软件证书到 受信任的根证书颁发机构

  1. 开启Brup软件时,使用系统管理员打开IE,输入http://burp/cert,可下载cert.der,然后选中安装到受信任的根证书颁发机构。

  2. 在警告信息中找到Brup证书,签发者为PortSwigger CA,安装到受信任的根证书颁发机构。

HTTPS仍握手失败 handshake_failure

已经添加Brup证书仍然提示HTTPS握手失败时Received fatal alert: handshake_failure,检查Burp中的Alerts标签页,查看第一次出现失败提示的下方,是否有提示下载并安装不受限的JCE。

1
2
3
4
5
Attempting to auto-select SSL parameters for <FQDN>
Failed to auto-select SSL parameters for <FQDN>
You have limited key lengths available. To use stronger keys, please download and install the JCE unlimited strength jurisdiction policy files, from Oracle.
javax.net.ssl.SSLException: server certificate change is restricted during renegotiation
server certificate change is restricted during renegotiation

若有,则下载并解压。

jdk6中的不受限JCE
jdk7中的不受限JCE
jdk8中的不受限JCE

替换掉使用Java版本中的jre/lib/security路径下的local_policy.jarUS_export_policy.jar两个jar包即可。替换前最好先备份一下。

谢谢大爷打赏,常来玩啊