插件下载地址:http://code.google.com/p/gason/downloads/list启动方法:java-classpathgason-0.9.5.jar:burpsuite_free_v1.5.jarburp.StartBurp参考文献1:http://resources.infosecinstitute.com/sqlmap-burp-plugin-2/参考文献2:http://blog.buguroo.com/?p=2471&lang=en..
分类:
数据库 时间:
2014-11-09 18:12:23
阅读次数:
306
问题:有时用burpsuite/fiddler做中间人测试,但wireshark抓不到本机的数据包,无法获取假证书信息,要怎样才能抓到和burpsuite/fiddler交互的数据包呢?解决方法:1.在linux下用wireshark抓包有个专门的接口“lo”,选择它就表示抓“127.0.0.1”的...
分类:
其他好文 时间:
2014-11-08 13:31:51
阅读次数:
300
BurpSuite这套渗透软件,或者已经可以说是渗透攻击平台了吧,玩的好,确实很方便。
就像是玩英雄联盟的ADC,一开始玩VN,感觉很难上手,玩多了肯定会爱上VN(啊,貌似提到了什么奇怪的东西)。
网上很多BurpSuite的教程,但是我觉得说是技术文档还差不多,教程应该倾向于教人快速上手。
本博文希望能带你走进BS,看看BS的HelloWorld是不是比你想象中要简单。...
分类:
其他好文 时间:
2014-11-02 16:32:30
阅读次数:
205
在Web页面中,数据提交有3种方式:get、post、cookie。传统的在注入点后面加上“and1=1”之类的注入命令,这都属于是get提交方式。而很多网站在进行过滤时,也大都是只针对get方式进行过滤,因而这就为Cookie注入提供了机会。在之前的博文中已经通过注入中转的方式介绍了cookie..
分类:
其他好文 时间:
2014-10-31 12:11:23
阅读次数:
221
在论坛等平台中,上传各种附件是必不可少的功能,往往也是黑客们容易攻击的地方。在上传专题中,与大家分享一些关于如何破解上传,以及如何防御,通过两者的博弈方式,体现出上传附件攻防的微妙之处。1.概述本文介绍前端过滤上传附件扩展名,如何使用burosuite绕过前端过滤,上..
分类:
Web程序 时间:
2014-10-22 18:33:40
阅读次数:
274
Intruder可在请求包中插入变量,然后指定字典,这就能做很多事了。 如果要插入多个变量,则需将Attacktype由Sniper改成Cluster bomb,然后分别指定字典。 Sniper 这种攻击模式可以在我们选择的攻击位置注入一个单一的变量,会将字典的所有的值都跑一遍。如果选择多个位置,它...
分类:
其他好文 时间:
2014-10-13 15:37:29
阅读次数:
187
Burpsuite教程与技巧之HTTP brute暴力破解Gall@WEB安全2013-02-28
共19052人围观,发现32个不明物体收藏该文感谢Gall投递常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization:
Basic...
分类:
其他好文 时间:
2014-05-12 05:27:26
阅读次数:
340
burpsuite绕过本地javascripte上传文件先是找到图片上传的位置:
上传个asp文件试试,一点击上传就出现: 这样基本就可以确定是本地检测文件后缀名的方式来检测上传内容。
接下来先将asp文件的后缀改成.jpg结尾的。并开启burpsuite大杀器!!! 开启成功后,开...
分类:
编程语言 时间:
2014-05-12 05:24:27
阅读次数:
450
