img
在对使用基于证书的身份验证的 API进行安全你测试时,需要将证书添加到我们的工具(如 Postman 和 Burp Suite)中。这样我们才能够在客户端和服务器之间代理请求进行分析,以便评估 API 的安全性。
在本文我们将介绍将证书和私钥合并到 Postman 以进行身份验证的步骤。我们还将介绍如何以 pkcs12 格式包含客户端证书,以便使用 Burp Suite 进行无缝流量拦截。
目录
•前提条件条件 | 环境准备
•将客户端证书导入 Postman
•在 Postman 中配置代理
•将客户端证书导入 Burp Suite
前提条件条件 | 环境准备
•客户端证书文件
•私钥文件
•Burp Suite(免费版或专业版)
•postman
将客户端证书导入 Postman
要在 Postman 中添加证书,我们需要从其官方网站下载 Postman Desktop 代理。此应用程序是跨平台的,支持 Windows、Linux 和 MacOS。
•下载链接:https://www.postman.com/downloads[1]
下载 Postman 后,打开 Workspace 仪表板,单击齿轮图标进入“设置”菜单。在“证书”部分中,单击“添加证书”按钮。
img
img
然后,我们输入证书信息,包括证书文件(通常为.crt、.pem或.cer格式)和私钥文件(为.key或.pem格式)。如果证书使用密码,我们也需要提供密码。
输入所有必需的详细信息后,我们可以点击“添加”。这将在客户端证书部分下添加新证书,可以从设置中访问,如下图所示。
img
img
现在 Postman 将在发送到“test.com”域的所有 HTTPS 请求中包含客户端证书。为了验证这一点,我们使用 HTTPS 向域发送请求并在控制台中检查证书。
图 5 — 显示在 Postman 中发送 HTTPS 请求 — r3dbuck3t
图 6 — 显示在 Postman 控制台中检查客户端证书 — r3d-buck3t.com
在 Postman 中配置代理
添加客户端证书后,我们需要设置 Postman 代理请求到 Burp Suite。为此,我们再次导航到“设置”菜单,单击“代理”部分,然后启用“使用自定义代理配置”的切换按钮。
之后,选择代理类型为 HTTP 和 HTTPS,并指定代理服务器的 IP 地址(在本例中为本地主机),输入 127.0.0.1,并将 Burp Suite 的端口号指定为 8080(默认端口)。
图 7-显示 Postman 中的代理设置 — r3d-buck3t
将客户端证书导入 Burp Suite
将证书添加到 Burp Suite,我们需要命令 OpenSSL 将证书和私钥文件捆绑为 pkcs12 格式。如果私钥使用密码,OpenSSL 会要求输入密码。
sudo openssl pkcs12 -export -out cert.pfx -inkey private.key -in certificate.crt
它还会要求输入提取证书时所需的导出密码。记住导出密码很重要,因为我们稍后将证书添加到 Burp 时会需要它。
图 8 — 显示将文件转换为 pkcs12 — r3d-buck3t
接下来,我们进入 Burp 设置,在网络部分下,导航到 TLS > 客户端证书。我们点击“添加”,选择证书类为“PKCS#12”,然后单击下一步。
img
img
我们在格式中选择刚刚转换的证书.pfx,并提供我们在转换文件时使用的导出密码。正确加载后,我们将收到“证书已成功加载”的消息。
img
img
完成这些步骤后,我们就可以使用 Burp 拦截来自 Postman 的 HTTPS 请求了。
今天的文章就到这里,感谢阅读!
参考
•https://blog.postman.com/set-and-view-ssl-certificates-with-postman/
•https://learning.postman.com/docs/getting-started/basics/navigating-postman/#console
无偿获取网络安全优质学习资料与干货教程
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
![[Web安全 网络安全]-文件包含漏洞](https://i-blog.csdnimg.cn/direct/6eedfe3cfad8479596f129284aa92d01.png)
