[3] 버프에 SSL이 적용된 사이트 proxy 환경 설정하기(인증서 에러)

- 2023.04.28 -

---

SSL이 적용된 http사이트 접근시 발생

버프를 통해 SSL이 적용된 https 사이트에 접근을 하다보면 위와 같은 에러 메세지를 맞딱뜨리게 된다.

문구는 이렇다.

 

공격자가 www.daum.net에서 정보 (예:비밀번호, 메시지, 신용카드 등)를 도용하려고 시도 중일 수 있습니다.

하지만 걱정하지 않아도된다. 이유는 그 공격자가 내가 조금전에 사용한 버프이기 때문이다 ㅋㅋ

이경우 보통 신뢰할 수 없는 인증서이거나 인증서가 없을때 발생하는데 아래의 과정을 거쳐 해결 할 수 있다.

 

Burp Browser

우선 버프안에서 자체적인 브라우저를 열고 주소창에 아래와 같이 입력하여 접근한다.

http://burp

 

간혹 일반 브라우저에서 해당 위 사이트에 접근하려고 하는데 그럴경우 당연히 되지 않는다.

반드시 버프 자체 브라우저에서 해당 경로로 접근해야 가능하다.

 

Burp CA

위 사이트로 연결하게 되면 위와 같은 모습을 볼 수 있는데 노란색 박스의 CA Certificate를 눌러 인증서를 다운받아 준다.

 

cacert.der

*.der확장자로 보안 인증서 하나를 다운로드 받은것을 확인할 수 있다.

 

CA 설치

더블클릭을 눌러 해당 인증서를 열어 확인해보면 발급 대상, 발급자가 모두 PortSwigger로 확인이 된다.

그 다음 인증서 설치를 눌러 설치를 진행해 준다.

 

로컬 컴퓨터 설치

기본 설정이 현재 사용자로 되어 있을 텐데 이것을 로컬 컴퓨터로 변경 후 다음 클릭.

 

 

신뢰할 수 있는 인증서

그 다음 모든 인증서를 다음 저장소에 저장을 눌러 인증서의 설치 경로를 지정해 주는데 인증서 저장소의 경로를 위 처럼 신뢰할 수 있는 루트 인증 기관으로 지정 후 다음을 클릭한다.

 

가져오기 완료

이후에는 가져오기를 완료했다는 메세지가 뜨고 정상적으로 설치된것을 확인 할 수 있다.

 

https 사이트 접근시 인증서 에러 없음

이후 https 사이트로 접근시 인증서 에러가 없는 것을 확인할 수 있다.

보안 인증서가 신뢰할 수 있는 인증서로 적용이 되면서 접근하려는 사이트에서 버프가 신뢰할 수 있는 프로그램으로 인식하고 더이상 인증서 에러가 발생하지 않는 것이다.

 

이제 이러한 인증서 에러가 발생할 때 마다 고급>무시하고 접근 등의 옵션을 별도로 누르지 않아도 된다.

 

 

---

마  치  며

인증서를 설치 했음에도  특정사이트에 접근할 때마다 인증서 에러 페이지가 떠서 의아했는데알고보니 설치 경로를 잘못 잡아줬다는걸 알았다..ㅋㅋ좀만 더 빨리 알았다면 좋았을 테지만 이글을 보는 다음의 나 그리고 다른 분들을 위해 기록함으로써조금 더 빠르고 원활하게 일을 할 수 있길 바란다.