Burp Suite上游代理恐怖漏洞：黑客反遭黑客入侵

某日我在办公室测试网络流量拦截工具Debookee时，意外发现该工具竟然能以明文形式截获Facebook的cookie数据。

什么是Debookee？

Debookee通过中间人攻击（MITM）技术，能够拦截和监控同一子网内任何设备的网络流量。该工具无需代理即可从移动设备（iPhone、iPad、Android等）或物联网设备（打印机、电视、冰箱）捕获数据，只需一键点击即可实现完全透明的网络拦截，且不会造成网络中断。

发现异常行为

获取Facebook明文cookie显然不是正常现象，因为Facebook通常使用SSL通过HTTPS协议传输cookie和其他数据。我进一步测试发现，竟然能够以明文形式获取所有网站的SSL流量。

询问同事后得知，他在浏览器中配置了Burp代理，正在访问Facebook和其他网站。这引起了我的警觉。

漏洞原理深度分析

经过深入调查，我发现问题的根源在于：

• 用户使用Burp Suite时会安装CA证书，授权Burp拦截所有SSL流量并转换为明文
• 一旦用户设置代理，浏览器就会以明文形式将所有流量发送至Burp Suite
• 当我运行Debookee时，Burp Suite将其识别为上游代理
• 按设计，Burp Suite不会强制向上游代理使用SSL证书
• 这意味着Burp会以明文形式将所有数据发送给Debookee

实际攻击场景

这意味着如果攻击者能够接入渗透测试办公室的WiFi网络，就可能入侵所有渗透测试人员。在实时攻防活动中情况更加危险——大多数黑客和漏洞赏金猎人都使用Burp Suite，攻击者可以在活动中入侵所有黑客。如果公司与黑客共享同一网络，公司安全团队同样面临被入侵的风险。

厂商回应

我将此问题报告给PortSwigger（Burp Suite开发商），他们回复称：Burp在设计上确实不强制上游SSL信任，但将在上游代理中推送一个SSL启用切换选项功能。

希望这个发现对大家有所启发。如有任何疑问，欢迎在Twitter上联系我。

安全 Burpsuite Hackerone Bugcrowd 渗透测试