API安全测试 | Postman + BurpSuite 配置证书代理

admin
admin
admin
138635
文章
114
评论
2024年9月11日23:52:26评论148 views字数 1810阅读6分2秒阅读模式


Track安全社区投稿~

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

API安全测试 | Postman + BurpSuite 配置证书代理

img
在对使用基于证书的身份验证的 API进行安全你测试时,需要将证书添加到我们的工具(如 Postman 和 Burp Suite)中。这样我们才能够在客户端和服务器之间代理请求进行分析,以便评估 API 的安全性。
在本文我们将介绍将证书和私钥合并到 Postman 以进行身份验证的步骤。我们还将介绍如何以 pkcs12 格式包含客户端证书,以便使用 Burp Suite 进行无缝流量拦截。

目录

前提条件条件 | 环境准备
将客户端证书导入 Postman
在 Postman 中配置代理
将客户端证书导入 Burp Suite

前提条件条件 | 环境准备

客户端证书文件
私钥文件
Burp Suite(免费版或专业版)
postman

将客户端证书导入 Postman

要在 Postman 中添加证书,我们需要从其官方网站下载 Postman Desktop 代理。此应用程序是跨平台的,支持 Windows、Linux 和 MacOS。
下载链接:https://www.postman.com/downloads[1]
下载 Postman 后,打开 Workspace 仪表板,单击齿轮图标进入“设置”菜单。在“证书”部分中,单击“添加证书”按钮。
API安全测试 | Postman + BurpSuite 配置证书代理

img
API安全测试 | Postman + BurpSuite 配置证书代理

img
然后,我们输入证书信息,包括证书文件(通常为.crt.pem.cer格式)和私钥文件(为.key.pem格式)。如果证书使用密码,我们也需要提供密码。
输入所有必需的详细信息后,我们可以点击“添加”。这将在客户端证书部分下添加新证书,可以从设置中访问,如下图所示。
API安全测试 | Postman + BurpSuite 配置证书代理

img
API安全测试 | Postman + BurpSuite 配置证书代理

img
现在 Postman 将在发送到“test.com”域的所有 HTTPS 请求中包含客户端证书。为了验证这一点,我们使用 HTTPS 向域发送请求并在控制台中检查证书。
API安全测试 | Postman + BurpSuite 配置证书代理

图 5 — 显示在 Postman 中发送 HTTPS 请求 — r3dbuck3t
API安全测试 | Postman + BurpSuite 配置证书代理

图 6 — 显示在 Postman 控制台中检查客户端证书 — r3d-buck3t.com

在 Postman 中配置代理

添加客户端证书后,我们需要设置 Postman 代理请求到 Burp Suite。为此,我们再次导航到“设置”菜单,单击“代理”部分,然后启用“使用自定义代理配置”的切换按钮。
之后,选择代理类型为 HTTP 和 HTTPS,并指定代理服务器的 IP 地址(在本例中为本地主机),输入 127.0.0.1,并将 Burp Suite 的端口号指定为 8080(默认端口)。
API安全测试 | Postman + BurpSuite 配置证书代理

图 7-显示 Postman 中的代理设置 — r3d-buck3t

将客户端证书导入 Burp Suite

将证书添加到 Burp Suite,我们需要命令 OpenSSL 将证书和私钥文件捆绑为 pkcs12 格式。如果私钥使用密码,OpenSSL 会要求输入密码。
sudo openssl pkcs12 -export -out cert.pfx -inkey private.key -in certificate.crt
它还会要求输入提取证书时所需的导出密码。记住导出密码很重要,因为我们稍后将证书添加到 Burp 时会需要它。
API安全测试 | Postman + BurpSuite 配置证书代理

图 8 — 显示将文件转换为 pkcs12 — r3d-buck3t
接下来,我们进入 Burp 设置,在网络部分下,导航到 TLS > 客户端证书。我们点击“添加”,选择证书类为“PKCS#12”,然后单击下一步。
API安全测试 | Postman + BurpSuite 配置证书代理

img
API安全测试 | Postman + BurpSuite 配置证书代理

img
我们在格式中选择刚刚转换的证书.pfx,并提供我们在转换文件时使用的导出密码。正确加载后,我们将收到“证书已成功加载”的消息。
API安全测试 | Postman + BurpSuite 配置证书代理

img
API安全测试 | Postman + BurpSuite 配置证书代理

img
完成这些步骤后,我们就可以使用 Burp 拦截来自 Postman 的 HTTPS 请求了。
今天的文章就到这里,感谢阅读!
参考
https://blog.postman.com/set-and-view-ssl-certificates-with-postman/
https://learning.postman.com/docs/getting-started/basics/navigating-postman/#console
以上内容由白帽子左一翻译并整理。原文:https://medium.com/r3d-buck3t/adding-certificates-to-postman-burp-suite-for-api-testing-06339a6d072a

原文始发于微信公众号(白帽子左一):API安全测试 | Postman + BurpSuite 配置证书代理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月11日23:52:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API安全测试 | Postman + BurpSuite 配置证书代理https://cn-sec.com/archives/3154046.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息