【Burp入门第二十一篇】使用BurpSuite实现WebSocket+漏洞复测+实战案例

已于 2024-05-24 14:44:34 修改
阅读量491 收藏 1
点赞数 1
分类专栏: BurpSuite入门教程 文章标签: websocket Burpsuite 渗透工具
于 2024-04-07 10:21:39 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/137432161
版权

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |CSDN秋说】

在这里插入图片描述

文章目录

WebSocket

WebSocket表示长期连接,支持双向异步通信。其通常用于实时应用程序(例如聊天和流媒体)或事件驱动功能(例如推送通知)

WebSocket漏洞可导致SQL注入、XSS等。

如图,存在实时聊天界面:

在这里插入图片描述

进行交互后,WebSocket历史记录如下(WebSocket的历史记录过滤操作与HTTP历史记录相似,不再详述):

在这里插入图片描述
将上图所需请求发送至重放模块:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
Alvin_Lam的专栏
01-16 7532
APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外)。所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议、Websocket、socket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocketBurp Suite工具是最适合不过的工具了。但是在遇到了app使用SSL或TLS加密传输
纪录片:Websocket长连接接口渗透测试过程_
Spontaneous_0的博客
02-21 950
最近接到公司的一个API接口测试的项目,除了常规的HTTP协议的API接口外,其中还有一部分是需要测试Websocket接口的。回想了一下除了之前复现Jumpserver漏洞时候用过Websocket,以外就没有对它有过什么研究了。这次也算是第一次与它交手,开始测试的时候就不是很顺利,但是好在最后解决了,故在此做下简单的记录。
burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
最新发布
wangluoanquan111的博客
03-20 700
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
漏洞复现】Apache Tomcat WebSocket 拒绝服务漏洞(CVE-2020-13935)
qq_48201589的博客
01-13 706
Tomcat 未针对 WebSokcet 进行包长度校验,特制的 WebSocket请求包将导致处理函数无限循环,最终导致服务停机并拒绝服务。查看http://IP:8080/examples/websocket/echo.xhtml 是否可以访问,如果不可以访问,则说明该文件被删掉了,那就无法进行漏洞利用了。
Burpsuite 抓包
热门推荐
weixin_45830924的博客
09-09 1万+
打开火狐设置代理 1、在火狐“常规”里设置手动代理,在http代理输入:127.0.0.1 端口8080 2、输入用户和密码-->打开抓包模块-->点击登录 3、抓包成功:可以在Burpsuite里查看请求包里的用户和密码 4、改包:我们可以在Burpsuite里修改这两个数据为任意内容,然后放走。请求包就会带着我们修改后的数据到达服务器 5、放包:一直forwoard放走,直到网页返回响应的内容。因为后台可能不止开了一个窗口的原因,所以也会抓到其...
Burpsuite+1.7.26+Unlimited.rar
08-13
Burpsuite+1.7.26+Unlimited.rarBurpsuite+1.7.26+Unlimited.rar
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
Mutator 将针对从 burpsuite 看到的每个请求运行,例如(代理、转发器、扫描仪)生成许多潜在的 url,每个都附加一个要传递给 Executor 和 Detector 类的有效负载,以检测其中一种检测技术是否成功 该插件使用两种...
Burpsuite插件之logger++使用方法1
08-03
Burpsuite 插件-logger++使用方法By:裁决目录跟 http history 差不过,记录的更加全面了,字段也多了几个正常开代理就行,不用管,跟
Kali+Burpsuite+Openvas+DAWA安装手册.docx
05-28
这几天一直在弄渗透测试的环境搭建及攻防的练习,磕磕绊绊两天时间终于把测试环境搭建好了(包括Kali+Burpsuite+Openvas+DAWA)。顺便记录了一下整个搭建及测试的过程(适合小白使用),我把一些用到的环境及软件也都...
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
BurpSuite+实战指南++
07-27
BurpSuite初学者必备书籍。。。。推荐下载。。。。。。。
看我如何分析并渗透WebSocket和Socket.io
Fly_鹏程万里
12-04 2850
Websocket简介 WebSocket是一种允许浏览器和服务器建立单个TCP连接然后进行全双工异步通信的技术。由于它允许实时更新,而浏览器也无需向后台发送数百个新的HTTP polling请求,所以对于web程序来说,WebSocket非常流行。这对于测试者来说是不好的,因为对WebSocket工具的支持不像HTTP那样普遍,有时候会更加复杂。 除了BurpSuite之外,还有一些其他工具...
Python socket通过代理访问web服务实现
python学习者的博客
03-24 1837
一、说明 1.1 背景说明 关于“代理”,从burpsuite到ss这类正向代理,再从nginx到haproxy这类反向代理,也用了好多年配置了好多年了。在日积月累之下也确认了以下几个问题: 正向代理和反向代理的区别----正常访问路径是client----public network----server,如果代理服务器处于client和public network之间就是正向代理,如果代理服务器处于public network和server之间就是反向代理。 代理从连接的角度是怎么实现的----A建立一个
轻松篡改WebSocket数据包
weixin_34365635的博客
07-15 3805
在开发测试WebSocket过程中,经常需要模拟WebSocket的一些行为,如:延迟、忽略、修改或构造发送到服务器或客户端的数据包,以及主动断开WebSocket连接等,本文将讲下如何用抓包调试工具whistle实现上述操作。 准备工作 如果你还不知道whistle是什么,可以访问whistle的Github了解及安装:github.com/avwo/whistl…。 如果你已经安装过whist...
Burp Suite无法监听到WebSocket流量的一个愚蠢的原因
克格莫
07-23 4033
根据其在官网的说法,只需要配置好了代理,WebSocket的请求是可以监听到的,而且不再需要做其他额外的配置: 但我尝试监听Websocket请求的时候,Omega报错:部分资源加载失败,然后请求也发不出去,抓包直接抓不到相关数据包。 所以猜测是burp的版本过低,虽然其1.6版本也有所谓的Websocket History,但是根本没用。 所以我这次直接上最新版的Burp,然后就监听到了websocket的流量: 而且新版还能对websocket的请求进行重放了,非常好。 ...
Burp Suite如何进行web漏洞测试
05-31
Burp Suite是一款功能强大的Web应用程序渗透测试工具,可以用于发现Web应用程序中的各种漏洞。以下是使用Burp Suite进行Web漏洞测试的一般步骤: 1. 配置Burp Suite代理:启动Burp Suite,将浏览器的代理设置为Burp...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值