Me salia algo como esto:
Primero antes que anda comenzare definiendo lo que es HSTS:
Es un mecanismo de politica de seguridad web segun la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo, un Navegador web, en este caso Burp Suite) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSL). La politica HSTS es comunicada por el servidor al agente de usuario a traves de un campo de la cabecera HTTP de respuesta denominado "Strict-Transport-Security". La politica HSTS especifica un periodo de tiempo durante el cual el agente de usuario debera acceder al servidor solo de forma segura.
Para poder usarlo con Burp Suite lo que tendriamos que hacer es usar un navegador que no soporte en este caso la tecnologia HSTS, o jugar con el user-agent... Les recomiendo el plugin User Agent Switcher para firefox y chrome.
Segun wikipedia estos son los navegadores que soportan HSTS:
Ahora y lo mas importante para poder usar HSTS en Burp suite es instalar el certificado CA (el cual no debe ser compartido, ni prestado), las instrucciones para instalar el certificado de burp suite en Firefox estan en la pagina oficial de Burp suite pero igual se los muestro:
https://support.portswigger.net/customer/portal/articles/1783087-installing-burp-s-ca-certificate-in-firefox
Con el proxy de burp suite configurado en firefox realizas los siguientes pasos:
1.- Ingresar a http://burp/
2.- Dar click en CA certificate
3.- Guardar el certificado
4.- Vamos a preferencias/opciones o about:preferences
5.- Luego en Avanzado>Certificados>Ver Certificados
7.- Importar
8.- Agregamos el certificado de Burp suite y ahora podemos usarlo!
No hay comentarios:
Publicar un comentario