Burp Suite上游代理严重漏洞：黑客反被黑客入侵

某天我在办公室使用网络流量拦截工具Debookee时，意外发现该工具竟然以明文形式截获了Facebook的cookie信息。

什么是Debookee？

Debookee能够通过中间人攻击（MITM）技术拦截和监控同一子网内任何设备的网络流量。它允许你从移动设备（iPhone、iPad、Android、黑莓等）或打印机、电视、冰箱（物联网设备！）捕获数据，而无需设置代理。这种拦截只需一键完成，完全透明且不会造成网络中断。

发现异常行为

以明文形式获取Facebook cookie并非预期行为，因为Facebook使用SSL通过HTTPS协议传输cookie和其他数据。我进一步测试发现，我能够将所有网站的SSL流量以明文形式抓取。

询问同事后得知，他在浏览器中配置了Burp代理，正在浏览Facebook和其他网站。

这很诡异……

深入调查

经过深入分析，我发现了这种异常行为的原因：

当用户使用Burp Suite时，会安装CA证书，该证书信任Burp拦截所有SSL流量并将其转换为明文。用户设置代理后，浏览器将所有流量以明文形式发送到Burp Suite。当我运行Debookee时，Burp Suite将Debookee识别为上游代理，而根据设计，Burp Suite不会强制向上游代理使用SSL证书，这意味着Burp将所有数据以明文形式发送给我/Debokee。

配置演示

• 在Firefox中配置Burp代理
• 配置Burp代理
• 以明文形式获取cookie
• 提供视频以便更好理解

安全影响

这意味着如果攻击者能够接入渗透测试咨询公司的WiFi，就可能入侵所有渗透测试人员。在实况黑客活动中呢？大多数黑客/漏洞赏金猎人都使用Burp Suite，这意味着攻击者可以在实况黑客活动中入侵所有黑客。如果公司与黑客共享同一网络，公司的漏洞分类人员也会面临同样的风险，这意味着在实况黑客活动中被入侵的风险。:))

这难道不令人毛骨悚然吗？

漏洞报告

我将此问题报告给PortSwigger，他们回复称：Burp在设计上不强制上游SSL信任，但他们将在上游代理中推送一个带有SSL启用切换选项的功能。

希望你们喜欢这个发现。如果有任何疑问，请在Twitter上联系我。

#安全 #Burpsuite #Hackerone #Bugcrowd #渗透测试