很多网站为了减少服务器端的压力,在后台方面减少验证,而在web前端使用JS进行验证,殊不知这样增加了很多安全隐患,在渗透测试中会对HTTP请求的拦截进行分析发现一些隐秘的漏洞。(例如:JS绕过,隐藏标签,等其它很多有用的信息)
一:BP(burp suite proxy)工具
bp发展到今天已经成长为一个比较全面的工具集了,包括基本的拦截请求、代理设置、自动访问等还包括自动注入检测目录爬行等更多全面的框架。
proxy:拦截HTTP/S的代理服务器。作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看、修改在两个方向上的原始数据包。
spider:一个智能感应的网络爬虫,它能自动爬取应用程序的功能和内容。
intruder:自定义配置的对web应用程序自动化攻击、枚举分析程序相应的工具项。
repeater:是一个手动操作请求的选项,你可以修改请求内容后重新发送请求到服务器。
sequencer:是一个用来分析不可预知的应用程序会话令牌和重要数据项的随机性工具。
decoder:解码编码工具
comparer:可视化比较两个文件不同之处。用于比较不同请求返回的数据有何差异。
①配置网络代理
bp设置,就设置一个就行,其余默认
浏览器中设置,下载proxy扩展,比如
安装bp 证书,这样可以拦截大多数的HTTPS请求,如果不安装,拦截HTTPS请求时容易报错。
浏览器地址输入代理的地址127.0.0.1:8080
点击下载CA证书,下载完成之后拖到浏览器就会自动安装证书。
使用时把开关打开,浏览器:选择bp代理;burp suite:启用
把下面的intercept单击调成off,这样不用每次请求都需要手动forward。
②查看拦截信息:
举报/反馈