Iphone手机自带https类型app通过burpsuit抓包审计方法
laoyan 2017-09-10 20:54:38
分 享


背景简介

一些iphone手机的app是https加密进行传输的,即iphone的app与公网服务器端是有证书加密的。这时默认burpsuit对https类型的网站抓包中因为设计到证书不受信任的问题,需要iphone手机下载burpsuit的根证书,并且信任该跟证书即可。提示:burpsuit默认支持http和https的代理截断,不过https类型的网站需要客户单pc信任burpsuit的根证书。

Iphone手机下载根证书

burpsuit根证书需要通过pc浏览器下载,推荐浏览器firefox。

(1)开启burpsuit,并设置代理本机的ip和代理端口,这里已本电脑ip:192.168.1.105 ,代理端口为:8080

iphone手机自带https类型app通过burpsuit抓包审计方法01.png

并回到【intercept】,把 点击intercept is on变为intercept is offiphone手机自带https类型app通过burpsuit抓包审计方法10.png

iphone手机自带https类型app通过burpsuit抓包审计方法11.png
(2)然后在firefox浏览器中设置代理,代理ip为:192.168.1.105,代理端口为:8080


iphone手机自带https类型app通过burpsuit抓包审计方法03.png

iphone手机自带https类型app通过burpsuit抓包审计方法04.png

iphone手机自带https类型app通过burpsuit抓包审计方法05.png


(3)通过firefox浏览器访问https://www.sina.com.cn,点击高级,再点击添加例外

iphone手机自带https类型app通过burpsuit抓包审计方法06.png


(4)点击 查看 ,证书详情,点击 根证书  并导出 ,文件名默认即可

iphone手机自带https类型app通过burpsuit抓包审计方法07.png

iphone手机自带https类型app通过burpsuit抓包审计方法08.png

iphone手机自带https类型app通过burpsuit抓包审计方法09.png


Iphone手机安装和信任根证书


(1)把导出的ca证书放在你自己的网站上,本文以http://www.lybbn.cn/PortSwiggerCA.crt为例,然后在iphone的safari浏览器输入你自己的网站目录文件PortSwiggerCA.crt


iphone手机自带https类型app通过burpsuit抓包审计方法14.png


(2)点击继续,并且安装该证书


iphone手机自带https类型app通过burpsuit抓包审计方法17.png

iphone手机自带https类型app通过burpsuit抓包审计方法18.png


(3)在iphone-通用-关于本机-证书信任设置-信任刚刚安装的根证书PortSwiggerCA

iphone手机自带https类型app通过burpsuit抓包审计方法13.png

Iphone手机wifi设置代理

(1)点 设置--wifi--你连接wifi名称后面的帮助符号,会进入高级配置,设置http代理ip:192.168.1.105 端口为:8080


iphone手机自带https类型app通过burpsuit抓包审计方法12.png



App再次正常访问


(1)再通过手机app访问想要的页面测试,再burpsuit查看截获的html等内容


iphone手机自带https类型app通过burpsuit抓包审计方法02.png


本文属原创文章,转载请注明来自Lybbn(lybbn.cn)

我要小额支持下

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

取消
吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!