BurpSuit渗透测试使用用户自定义根证书

BurpSuit Pro作为web渗透和移动应用客户端渗透已经成为一个不可或缺的截包工具,尤其是在测试网银App或者一些使用https加密传输的App时,特别管用;

但是网上提供的方法大多数是使用Burpsuit自己签发的数字证书,然后导入到要测试的设备里面,是一个不错的办法;但是有的时候,burpsuit会重新生成一个新的证书,导致之前导入到设备里面的证书无效,每次渗透测试都要重新导入,真是特别麻烦。

于是,我就想,是否可以使用用户自己的根证书来签发网站的证书呢?

答案是可以的。

在burpsuit代理设置那里,可以使用用户自己的私钥用于签发证书

bp-gen

 

这样burpsuit给浏览器下发的证书就是使用用户自定义签发的了,这样以后只要把公钥证书放到互联网上,让设备安装这个证书并把代理指向burpsuit就可以截取数据包了!