javax.net.ssl.SSLException 에러 해결(Burp + OWASP ZAP연동)

대부분의 경우 SSL/TLS 패킷을 캡쳐 가능.

그러나, 적은 경우의 수로 javax.net.ssl.SSLException 에러가 발생하며 SSL/TLS 패킷 캡쳐가 불가한 경우가 있음.

 

이 경우 OWASP ZAP을 burp의 Upstream Proxy로 설정하여 해결 가능.

※ Why?

ZAP Proxy uses BouncyCastle, a library that provides greater support for SSL/TLS implementations than Java’s native javax.net.ssl.

 

- ZAP 에서

OWASP ZAP 다운로드 및 설치( https://www.zaproxy.org/ )

실행 후 Tools --> Options --> Local Proxies 항목 설정

 

HUD 항목 설정. 아래 그림과 같이 "Enable when usgin the ZAP Desktop" 체크해제하고 ZAP 재시작.

 

※ HUD 항목이 설정되어 있는 경우의 browser모습

http response에 zap이 wrapping을 하여 UI에 option들이 붙어있게 되는데,

본인의 경우 거추장스러워서 옵션 해제하였음.

 

- Burp 에서

다음 순서대로 설정 하면, 정상적으로 SSL/TLS 패킷 캡쳐 가능.

 

※ 출처

https://labs.nettitude.com/tutorials/how-to-fix-burp-suite-ssltls-connection-problems/