国密算法即国家密码局认定的国产密码算法(商用密码)。近年来,国家站在长远战略的高度大力推动国产密码算法在金融、电子政务等关键领域的应用,明确要求在金融银行、电子政务、教育、交通运输、民生保障等关键领域全面推进自主可控密码技术的应用。
目前越来越多的政府、企事业单位都已开始部署使用国密https(TLCP)。但目前主流的测试软件如Burp Suite、Jmeter 、Postman 等都不支持直接对国密https网站的安全检查。这无疑给一些国密https系统的测试、密评等带来诸多不便。
通过GMProxy实现了Burp Suite、Jmeter、Postman? 等主流测试工具对国密https的支持。同时也实现了chrome 、egde等浏览器对国密https网站的访问。
软件下载
点击访问官网?下载最新版的GMProxy.
GMProxy2.zip SHA1:044ca5ce0ed815d974956a011fa6aa3c62cac59a
安装CA证书
GMProxy 为绿色软件,下载后解压即可使用,非常方便。下载后需要安装CA证书gmproxy_cacert.crt?。
由于GMProxy需要将普通的https
的流量转发成国密版https(TLCP) ,如果不进行根证书的安装 ,浏览器等软件会出现证书错误。 如果不安装CA证书只能使用http到国密https的转发。
CA证书安装步骤
- 打开
gmproxy_cacert.crt,点击‘安装证书’,选择如下选项
- 将证书储存到"受信任的根证书颁发机构"
证书查看
- 证书安装成功后,运行
certmgr.msc,点击‘安装证书’,在“受信任的根证书颁发机构”里,应该可以查看的到。
运行
gmproxy.exe
编辑网址列表
只有在国密网址列表中的URL 才会启动国密SSL 转换,无论访问HTTP 还是HTTPS ,GMProxy 都会转换成国密https进行访问。
可以方便的添加你需要的国密网址。
浏览器访问国密网站
设置浏览器HTTP代理为127.0.0.1:18080。在浏览器中可以直接访问国密网站,例如,中国银行国密专版网站https://ebssec.boc.cn, 这时候我们访问 http 或 https ,GMProxy都会在本机完成国密https转发。
自建国密站https://192.168.1.16:1443测试
开启抓包功能后,在软件访问列表中可以看到TLCP协议的请求内容,包括IP 地址 和 HTTP HEAD等
自定义域名
GMProxy 支持自定义域名,通过工具栏修改HOSTS文件实现,GMProxy 不使用系统的HOSTS文件,支持通配符和正则表达式。如
* 127.0.0.1 ad.* ads.*
* 127.0.0.1 /^ads?\..*$
* 127.0.0.1 example.com
DNS设置
GMProxy 不使用系统的DNS 设置,可单独设置DNS 服务器地址。
已测试浏览器
BurpSiute测试国密网站
通过给BurpSiute 设置HTTP代理 ,实现测试??Upstream 设置为 127.0.0.1:8443
Jmeter 国密网站压力测试
Jmeter 压力测试,建议使用压力测试专用端口127.0.0.1:19090?,该端口不会进行HTTPS 解密操作,可提升测试效率。测试时,可测试网站http地址,GMProxy 后台会自动将HTTP 转发为国密HTTPS。
可通过jmeter -H 127.0.0.1 -P 19090命令开启 Jmeter 代理
也可以通过手工设置代理服务器?
Sqlmap
sqlmap -u https://www.xxxx.com/Less-1/?id=1 --proxy http://127.0.0.1:18080