Seite 2: Clients konfigurieren

Inhaltsverzeichnis

Clients konfigurieren

Damit zum Beispiel ein iPhone den Burp-Proxy benutzt, navigieren Sie zu den "Einstellungen/WLAN" und drücken neben dem Namen des genutzten WLANs auf das blaue Info-Symbol. Nun öffnet sich ein Menüseite, auf der Sie bis "HTTP-Proxy" nach unten scrollen. Dort aktivieren Sie "Manuell" und tragen IP-Adresse und Proxy-Port von Burp ein.

Zeit für einen ersten Test. Öffnen Sie mit dem Browser des Geräts eine HTTP-Seite wie http://heise.de, die sich wie gewohnt aufbauen sollte. Anschließend können Sie die Einzelheiten der Datenübertragung in Burps Register-Reite "History" unter die Lupe nehmen. Die erste GET-Anfrage auf http://heise.de quittiert der Heise-Server demnach mit einem Redirect auf die URL der Mobil-Seiten.

Jetzt geht es den verschlüsselten Verbindungen an den Kragen. Wenn Sie jetzt die Adresse https://paypal.com aufrufen, sollte Sie der Client warnen, dass etwas mit dem SSL-Zertifikat nicht stimmt. Genauer gesagt bekommt er ein Zertifikat vorgesetzt, das nicht von einem vertrauenswürdigen Herausgeber signiert wurde. Um diese Warnung abzustellen – schließlich handelt es sich in diesem Fall nicht um einen Angriff, sondern um einen gewollten Effekt – fügen Sie das CA-Zertifikat von Burp zur Liste der vertrauenswürdigen Herausgeber hinzu.

Dazu müssen Sie allerdings erst mal an das Zertifikat herankommen, was in der Gratis-Version von Burp etwas umständlich ist. Am besten nutzen Sie die Desktop-Variante von Firefox. Diese kann auch auf dem gleichen Rechner wie Burp laufen. Tragen Sie im Firefox-Menü unter "Einstellungen/Einstellungen/Erweitert/Einstellungen/Netzwerk" den Burp-Proxy für alle Protokolle ein. Anschließend steuern Sie wieder eine HTTPS-Seite an, um eine Zertifikatswarnung zu provozieren.

Klicken Sie in der Fehlermeldung auf "Ich kenne das Risiko/Ausnahmen hinzufügen…/Ansehen…/Details" und wählen die "PortSwigger CA" an oberster Stelle der Zertifikatshierarchie aus. Nach einem Klick auf "Exportieren" speichern Sie das Zertifikat im Format "X.509-Zertifikat (PEM)" als .crt-Datei auf der Platte.

Dieses CA-Zertifikat schicken Sie per Mail an sich selbst und öffnen den Dateianhang auf dem iPhone. Nach mehreren Bestätigungen ist der neue Zertifikatsherausgeber dann installiert. Mit Android können Sie ab Version 4.0 Ice Cream Sandwich ebenso verfahren, bei älteren Versionen müssen Sie tiefer in die Trickkiste greifen und benötigen unter Umständen Root-Rechte.

Et voilà: Nach einem Neustart des Safari-Browsers auf dem iPhone entschlüsselt Burp die komplette Kommunikation über HTTPS. Jetzt können Sie sich ganz der Traffic-Auswertung widmen. (rei)