码迷,mamicode.com
首页 >  
搜索关键字:burpsuite    ( 238个结果
Web应用集成攻击平台Burpsuite的使用
burpsuite是功能强大的web应用集成渗透平台,有很多用途。这次就简单地记录一次使用,得罪哪位请多担待。 打开burpsuite。记得从BurpLoader.jar打开,虽然没有帅气的欢迎画面,不过至少免去到处去问密钥是什么的尴尬。 在Proxy-Options选项卡中设置对127.0.0.1
分类:Web程序   时间:2016-02-10 15:24:50    阅读次数:329
burpsuite设置宏绕过csrf token
为了防止csrf和表单重复提交,有些系统使用了Token机制,具体机制可自行研究,这对我们的个别测试造成了一定的不便。 解决思路: 1、将获取token的操作设置为宏,自动完成每次重新获取token的操作(最为省时,但比较麻烦) 2、测试阶段让开发将token设为一个定值(最为方便) 3、全部测试均
分类:其他好文   时间:2016-01-29 15:44:06    阅读次数:363
Burpsuite教程与技巧之HTTP brute暴力破解
常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=这样的问题,很多朋友疑惑了.之前,我记得我介绍过burpsuite的intruder功能(BurpSuite教程...
分类:Web程序   时间:2016-01-19 10:28:34    阅读次数:362
DVWA系列之23 medium级别上传漏洞分析与利用
下面再来分析medium级别的代码:这里分别通过“$_FILES[‘uploaded‘][‘type‘]”和“$_FILES[‘uploaded‘][‘size‘]”获取了上传文件的MIME类型和文件大校MIME类型用来设定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时,浏览器会自动使用指定的应用程序来打开,如jpg图..
分类:Web程序   时间:2016-01-06 12:11:06    阅读次数:420
burpsuite的基础应用-暴力破解
burpsuite的基础应用-暴力破解登陆某一站点http://www.XXXX.cn/login.php其注册页面如下1.开启Proxy抓包,随机(猜想)尝试用户名密码,,显示如下2.send-to-intruder,intruder-positions,去掉多余的加载字典位置,auto$密码用户名Attacktype-Battering(一个字典同时匹配两个加..
分类:其他好文   时间:2016-01-03 17:41:38    阅读次数:543
DVWA系列之12 利用Burpsuite进行暴力破解
下面我们利用Burpsuite的Intruder模块来对密码进行暴力破解。首先输入用户名admin,输入随意密码,比如123,然后对数据包进行拦截。将拦截到的数据包“SendtoIntruder”,然后在Position选项中设置需要破解的变量。Burpsuite会自动设置许多变量,单击“Clear”按钮,把默认变量..
分类:其他好文   时间:2015-12-14 12:38:49    阅读次数:195
DVWA系列之13 Brute Force代码分析与防御
之前已经分析过了low级别的BruteForce代码,下面再分别分析一下medium和high级别的代码。medium级别代码:很明显就可以看到medium和low级别的区别,在这里对负责接收用户参数的变量$user和$pass进行了过滤,过滤的方法仍然是使用mysql_real_escape_string()函数。这样密码绕过..
分类:其他好文   时间:2015-12-14 12:37:45    阅读次数:157
DVWA系列之4 利用SQLMap进行medium级别注入
下面我们尝试利用SQLMap进行medium级别下的注入。首先探测是否存在注入点,执行下面的命令:sqlmap.py-uhttp://192.168.80.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit检测结果没有发现注入点,这是由于DVWA需要先登录然后才能使用,因而这里需要得到当前会话的cooki..
分类:数据库   时间:2015-12-04 10:59:04    阅读次数:288
学习笔记-七burpsuite的使用
Burpsuite的使用一、burp简介:Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。二、工具箱:(1)...
分类:其他好文   时间:2015-11-12 00:04:00    阅读次数:374
burpsuite+sqlmap跨登录验证SQL注入
(我操作的系统是kali linux)1.利用burpsuite代理设置拦截浏览器请求(具体操作步骤可参考:http://www.cnblogs.com/hito/p/4495432.html)2.拦截完成的请求具体内容在“Proxy--Intercept”中完整展现3.右键选中-copy to f...
分类:数据库   时间:2015-09-11 12:16:30    阅读次数:377
238条   上一页 1 ... 20 21 22 23 24 下一页
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!