一、简介 Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程 ...
分类:
其他好文 时间:
2017-06-15 12:45:39
阅读次数:
231
一、问题描述 在http的Request里经常有乱码,如下图 二、解决方法 方法一:改字体 首先点击User Options选项卡 然后找到display 找到http message display,将其中默认的字体改为中文字体 选中任何一个中文字体即可,推荐宋体,如果还乱码的话,只有换个burp ...
分类:
其他好文 时间:
2017-06-15 12:43:18
阅读次数:
294
一、简介 Project options主要用来对Project的一些设置。 二、模块说明 Project options主要由五个模块组成: 1.Connections 连接2.HTTP3.SSL4.Sessions5.Misc 杂项 1.Connections 连接 选项1:Platform A ...
分类:
其他好文 时间:
2017-06-15 12:40:38
阅读次数:
198
一、简介 Burp Sequencer是一种用于分析数据项的一个样本中的随机性质量的工具。你可以用它来测试应用程序的session tokens(会话tokens)或其他重要数据项的本意是不可预测的,比如反弹CSRF tokens,密码重置tokens等。 二、模块说明 Burp Sequencer ...
分类:
其他好文 时间:
2017-06-15 12:39:41
阅读次数:
182
利用burpsuite抓包看看,点击两个下载比对一下,发现它的url是可变的,而且是base64编码 这样的话构造一下download.php的base64编码,放置url运行,得到源码 分析源码可知有一个hereiskey.php,构造url提交可得flag ...
分类:
其他好文 时间:
2017-05-28 15:29:15
阅读次数:
199
201453331魏澍琛web安全基础实践 一.实验过程 1、webgoat开启 2、Injection Flaws练习 Command Injection 原网页中没有注入的地方,那就用burpsuite(设置的相关步骤别人的博客写的很详细,不累述了),分析第一个包看他的数据提交的位置,找到后进行 ...
分类:
Web程序 时间:
2017-05-14 23:39:29
阅读次数:
374
1.配置浏览器对https也使用代理 http和https两都是分开的,对http使用了代理并不代理对https也使用了代理,要配置浏览器让其对https也使用同样的代理。 2.将证书导入浏览器 配置https使用burpsuite代理后可拦截https包但一般页面不可报连接错误,不可访问。 首先将 ...
分类:
Web程序 时间:
2017-05-08 14:48:43
阅读次数:
334
很多新手在刚用burpsuite时,在设置好网页网络代理后,发现打不开网页,这其实是一个简单的问题,因为burpsuite是默认将拦截开的,也就是,在你设置好代理后,你打开网页,它已经默认将请求包拦截下来了。 那个intercept is on 表示拦截是开的,这时你若想正常打开网页则,按一下那个即 ...
分类:
Web程序 时间:
2017-04-29 18:43:45
阅读次数:
3072
在网上找了一篇关于Burp Suite的使用介绍,感觉写的基础的,下面就copy了,另外还有一篇《BurpSuite实战指南》的pdf是一位好心的“前辈”共享的,感觉写的也很详细和基础只可惜没有找到网上下载的链接。 《Burp Suite使用介绍(一)(二)(三)》(信息量也很大);文章来源:htt ...
分类:
其他好文 时间:
2017-04-15 01:21:14
阅读次数:
236
通过post方法,修改PHP主配置文件,就可以执行命令行对服务器进行操作,php语言中passthru函数可以执行操作系统的指令<!--?php passthru('id'); die(); ?--><!--?php passthru('id'); die(); ?--> 打开burpsuite,在 ...
分类:
其他好文 时间:
2017-04-14 16:14:16
阅读次数:
295
