| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> Burp Suite小白入门(代理) -> 正文阅读 |
|
[网络协议]Burp Suite小白入门(代理) |
一,介绍Burp Suite是一款集成化的渗透测试工具,包含许多功能,我们可以使用他高效地完成对Web应用程序的渗透测试和攻击。总结:bp就是一个抓包,改包工具。 二,Burp Suite入门(1)设置代理1,http的代理以火狐浏览器为例: 然后,当我们再点击burp suite的时候就可以去抓包了 ?? 2,https的代理如上,抓http的包要用http代理;那么抓https的包,则要用https代理(SSL proxy) http默认走的是80端口,https走的是443端口。两者端口不一样,要代理https就一定要用ssl去代理。(还没有完全理解呢) 设置https代理: ?由于https,多添加了一套ssl层(在tcp和http中间),用来加密,更安全。所以,burp suite有一个证书,安装证书之后就可以解密https传回的数据。 有两种下载证书的方法: (1)打开代理后,浏览器访问http://burp。(注意!一定要开http代理,我第一次失败就是没有开代理) (2)浏览器访问127.0.0.1:8080(这种方法不用开代理哦) ?导入证书: 仍然是以火狐浏览器为例: ? ? 然后我们就可以看到我们刚刚下载的证书啦~有了它我们burp suite就可以解密https协议里面的乱码数据了(关于SSL和证书的原理,请看我下一篇博客嘻嘻)? ? 抓https的包: 以抓取https://www.baidu.com为例: ? 但是有一个总结我目前还没有看懂,先记录在这里?: ?(2)BurpSuite主要功能模块1,proxy(用来抓包)proxy以拦截代理的方式,拦截所有通过代理的http和https协议的流量。通过拦截,bp以中间人的方式,可以对客户端请求数据,服务端返回做各种处理,已带到安全评估测试的目的。 Burp Proxy的拦截功能主要由intercept(intercept拦截/截夺)选项卡中的Forward、Drop、Interception is on/off和Action构成,他们的功能如下所示: 参考链接:http://t.csdn.cn/cdTLF? 打开浏览器,输入需要访问的URL并按回车键,这时将看到数据流量经过Burp Proxy并暂停,直到单击Foreword按钮,才会继续传输下去。如果单击了Drop按钮,这次通过的数据将丢失,不再继续处理。 ? 当Burp Suite拦截的客户端和服务器交互之后,我们可以在Burp Suite的消息分析选项中查看这次请求的实体内容、消息头、请求参数等信息。Burp有四种消息类型显示数据包:Raw、Params、Headers和Hex。 ? ? Raw主要显示web请求的raw格式,以纯文本的形式显示数据包,包含请求地址、Http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等,可以通过手动修改这些信息,对服务器端进行渗透测试。(Raw就是以文本的形式显示数据包) ? ? Params主要显示客户端请求的参数信息,包括GET或者POST请求的参数、cookie参数。可以通过修改这些请求参数完成对服务器端的渗透测试。 ? ? Headers中显示的是数据包中的头信息,以名称、值的形式显示数据包。 ? ? Hex对应的是Raw中信息的二进制内容,可以通过Hex编辑器对请求的内容进行修改,在进行00截断时非常好用。 2,target?3,Intruder(暴力破解)? ? ? ? ? ? ? |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 5:10:20- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |