Information Security/General Technique
javax.net.ssl.SSLException 에러 해결(Burp + OWASP ZAP연동)
hackcatml
2020. 7. 23. 19:48
반응형
대부분의 경우 SSL/TLS 패킷을 캡쳐 가능.
그러나, 적은 경우의 수로 javax.net.ssl.SSLException 에러가 발생하며 SSL/TLS 패킷 캡쳐가 불가한 경우가 있음.
이 경우 OWASP ZAP을 burp의 Upstream Proxy로 설정하여 해결 가능.
※ Why?
ZAP Proxy uses BouncyCastle, a library that provides greater support for SSL/TLS implementations than Java’s native javax.net.ssl.
- ZAP 에서
OWASP ZAP 다운로드 및 설치( https://www.zaproxy.org/ )
실행 후 Tools --> Options --> Local Proxies 항목 설정
HUD 항목 설정. 아래 그림과 같이 "Enable when usgin the ZAP Desktop" 체크해제하고 ZAP 재시작.
※ HUD 항목이 설정되어 있는 경우의 browser모습
http response에 zap이 wrapping을 하여 UI에 option들이 붙어있게 되는데,
본인의 경우 거추장스러워서 옵션 해제하였음.
- Burp 에서
다음 순서대로 설정 하면, 정상적으로 SSL/TLS 패킷 캡쳐 가능.
※ 출처
https://labs.nettitude.com/tutorials/how-to-fix-burp-suite-ssltls-connection-problems/
반응형