Proxy 使用Burp代理的Kerberos身份验证

我正在尝试设置Burp套件，以便能够篡改HTTP请求并对使用Kerberos进行身份验证的.NET应用程序（即仅支持windows集成身份验证和Kerberos）运行安全漏洞扫描。为了在IE中正常访问应用程序，我使用Credential Manager向Windows添加了一组凭据，然后在身份验证期间使用这些凭据。我设置了Burp Suite，可以看到它们从浏览器传递的请求/响应，但是我不能在中继器/扫描仪中篡改请求，因为Burp Suite不会自动更新授权标头

我知道Fiddler支持Kerberos，所以我的想法是将Burp链接到Fiddler。我首先确保我可以在Fiddler中使用Tamping（用作向导）。然后，我将Fiddler设置为Burp的上游代理，但当我在Burp中篡改请求时，在发出请求时仍然得到401未经授权

---

关于如何让Burp进行Kerberos身份验证还有其他想法吗？

如果使用Fiddler的

规则

自动身份验证

菜单选项，Fiddler将使用当前用户的登录凭据，使用NTLM、摘要或协商（Kerberos）自动响应HTTP/401登录挑战

如果站点的登录凭据不同，则需要执行以下操作：

规则

自定义规则

。滚动至

OnBeforeRequest

方法。添加以下内容：

if (oSession.HostnameIs("targetsite.com"))
{
  // Don't forget to use a double \\ in the string below
  oSession["X-AutoAuth"] = "domain\\user:password";
}

---

Fiddler将使用指定的

domain\user

和

password

响应

HTTP/401

s from

targetsite.com

是的，不幸的是，它将401发送回Burp。经过几次修改后，它开始工作。我按照上面所说的做了，确保Fiddler被设置为解密来自Burp的HTTPS流量（工具-Fiddler选项-HTTPS-解密来自所有进程的流量），然后我必须使用命令行选项-Dsun.security.ssl.AllowUnsaferencationation=true启动Burp。我还将Fiddler证书添加到java的可信证书中，但我不确定这是否真的起了作用（请参阅）。我正在开发的应用程序可以对多个域进行身份验证，显然，在Burp中SSL出现了问题。我可以在Burp中向一个域发出请求，但当我尝试向另一个域发出请求时，会出现“服务器证书更改在重新协商期间受到限制”错误。听起来像是一个JVM问题，但不能确切地说是什么“服务器证书更改在重新协商期间受到限制”意味着服务器（或您的中介）正在为单个主机返回不同的证书。是的，可能是fiddler，因为现在请求路径是Burp（repeater）->fiddler->App（a.app.tld、b.app.tld等）。从一个Burp实例中，我可以点击a.app.tld，但如果我尝试点击b.app.tld，它会因重新协商错误而失败。但是，如果我打开一个新的Burp实例，我可以点击b.app.tld，但由于重新协商错误，我无法再点击a.app.tld。