昨天面試，技術官問到了我如何使用BurpSuite抓取https網站的數據包，一時間沒能回答上來(尷尬！)。因為以前https網站的數據包我都是用Fiddler抓取的，Fiddlert自動幫我們配置好了證書，所以就沒用BurpSuite抓取過，今天特意去學習了下如何使用BurpSuite抓取https網站的數據包。

關于HTTPS協議中證書的認證過程，傳送門——>HTTPS協議工作原理(SSL數字證書)

BurpSuite之所以不能抓取https數據包，是因為BurpSuite作為中間人代理，我們和https網站之間的數據通信都是由BurpSuite來代理的，而https通信是需要SSL證書的，BurpSuite的證書我們瀏覽器默認是不信任的。所以要想實現BurpSuite抓取https的數據包，最關鍵的是讓瀏覽器信任BurpSuite的證書。

下面我以Firefox瀏覽器為例，演示如何讓Firefox信任BurpSuite的證書。

首先，打開BurpSuite，配置好代理。如果不知道怎么用BrupSuite的，移步——>?Burpsuite工具的使用

然后訪問??http://burp/? ?,下載BurpSuite的證書

下載到桌面后，得到的是一個 cacert.der?的文件，而并不是我們常見的 .cer?格式的證書，這是因為證書的編碼方式不一樣導致的，但是這并不影響我們后續的導入證書

然后我們在Firefox中打開設置——>選項——>高級——>證書——>查看證書——>證書機構——>導入，選擇我們剛剛下載到桌面的證書，點擊打開

然后勾選信任由此證書頒發機構標識的網站，點擊確定。

我們的BurpSuite的證書就導入進Firefox的可信任證書里面了。

當我們訪問https的網站，比如百度的時候，可以發現，BurpSuite已經能抓取數據包了。

對于其他的瀏覽器，比如chrome，QQ瀏覽器等，步驟都一樣，只是最后導入證書是導入進受信任的根證書頒發機構。

總結

以上是生活随笔為你收集整理的使用BurpSuite抓取HTTPS网站的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。