Burp Suite adalah salah satu alat yang sering digunakan konsultan saat melakukan uji penetrasi aplikasi web. Mencegat koneksi SSL/TLS bekerja dengan mulus 95% dari waktu. Tutorial ini bertujuan untuk membantu 5% dari waktu di mana Burp Suite tidak akan bermain bagus dan akan membuang file javax.net.ssl.SSLException.
Masalah ini biasanya muncul di ujung ekstrim dari spektrum konfigurasi SSL/TLS. Implementasi SSLv2 di satu sisi vs implementasi modern dengan cipher dan ukuran prima yang tidak didukung oleh implementasi SSL Java asli.
Salah satu cara untuk mengatasi ini adalah dengan menggunakan OWASP ZAP Proxy sebagai proxy upstream.
Dengan pengaturan ini, Burp Suite berbicara dengan ZAP, yang pada gilirannya berbicara ke situs web yang ditargetkan dan menangani komunikasi SSL/TLS. Setelah mengikuti langkah-langkah tutorial ini, alur komunikasi Anda akan menjadi sebagai berikut:
Browser Anda -> Burp Suite -> OWASP ZAP -> Situs web target.
Mengapa ini berhasil, Bukankah kedua alat itu ditulis dalam Java? Apa perbedaan antara Burp Suite dan ZAP? Jawabannya adalah ZAP Proxy menggunakan BouncyCastle , perpustakaan yang menyediakan dukungan lebih besar untuk implementasi SSL/TLS daripada Java asli javax.net.ssl.
Setelah mengetahui tentang Burp Suite, berikut ini adalah langkah-langkah/ tutorialnya:
1. Konfigurasikan browser Anda untuk menggunakan Burp Suite sebagai proxy
Kami tidak akan membahas ini di sini; kami berasumsi bahwa Anda sudah familiar dengan pengaturan dan penggunaan Burp Suite. Untuk contoh ini, proxy Burp akan mendengarkan pada 127.0.0.1:8080.
2. Konfigurasikan OWASP ZAP
Instal OWAP ZAP Proxy , dan buat perubahan dengan cara:
Masuk ke Tools -> Options :
Arahkan ke "Koneksi/connection" dan pastikan semua "Protokol Keamanan/ Security Protocol" dicentang:
Lalu pergi ke "Proxy Lokal" dan pilih 8081 sebagai port proxy, pastikan semua "Protokol Keamanan/ Security Protocol" dicentang.
Setelah Anda membuat perubahan, mulai ulang ZAP. Hanya untuk memastikan bahwa ZAP dapat terhubung ke target Anda, konfigurasikan browser Anda untuk sementara menggunakan 127.0.0.1:8081 sebagai proxy HTTPS. Arahkan ke target dan verifikasi bahwa ZAP memang dapat menangani koneksi SSL/TLS.
3. Konfigurasikan Burp untuk menggunakan ZAP sebagai proxy upstream
Di Burp, di bawah "Opsi Pengguna" pilih tab "Koneksi/ connection" dan klik tombol "Tambah/add":
Pada dialog popup, isi berikut ini:
• Tuan rumah tujuan: *
• Tuan rumah proxy: 127.0.0.1
• Port proxy: 8081
Klik Oke. Verifikasi bahwa "Diaktifkan" dicentang.
إرسال تعليق