Новая версия Burp Proxy предназначена для улучшения анализа SSL-соединений телефонов Android. Разработчики и специалисты по безопасности не против использовать Burp Proxy для проверки веб-трафика на ПК, а в последнее время также на смартфонах. Например, heise Security недавно использовала Burp для анализа различных приложений для смартфонов для журнала c’t.
Для анализа веб-трафика, сервер Burp вводится в качестве прокси для HTTP- и HTTPS-подключений устройства, и устанавливается самоподписанный сертификат CA. Этот сертификат позволяет Burp Proxy генерировать на лету сертификаты для имитации HTTPS-сервера.
Тем не менее, проблема с устройствами Android заключается в том, что эти устройства изначально получают адрес целевого сервера через DNS и затем использует Proxy для прямого доступа с использованием CONNECT. Так как Burp не знает имя сервера, для которого генерируется сертификат, он использует IP-адрес сервера в качестве общего названия, что вызывает сообщения об ошибках или прерывает подключения смартфона. Новая версия 1.4.12 сначала устанавливает SSL-подключение к целевому серверу и затем делает все возможное для имитации сертификата сервера. Burp Proxy является частью Burp Suite от PortSwigger.
Больше статей
Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах
Специалисты из Akamai выявили существование нового ботнета Dark Frost
Cisco предупреждает: ПК-пользователи без защиты от хакеров с ChatGP