BurpSuit Pro作为web渗透和移动应用客户端渗透已经成为一个不可或缺的截包工具,尤其是在测试网银App或者一些使用https加密传输的App时,特别管用;
但是网上提供的方法大多数是使用Burpsuit自己签发的数字证书,然后导入到要测试的设备里面,是一个不错的办法;但是有的时候,burpsuit会重新生成一个新的证书,导致之前导入到设备里面的证书无效,每次渗透测试都要重新导入,真是特别麻烦。
于是,我就想,是否可以使用用户自己的根证书来签发网站的证书呢?
答案是可以的。
在burpsuit代理设置那里,可以使用用户自己的私钥用于签发证书
这样burpsuit给浏览器下发的证书就是使用用户自定义签发的了,这样以后只要把公钥证书放到互联网上,让设备安装这个证书并把代理指向burpsuit就可以截取数据包了!