4.4在系统变量区域,点击新建。
4.5变量名:JAVA_HOME ,变量值为 jdk 的安装路径。
4.6再次建变量名:CLASSPATH 变量值 .;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar
4.7找到Path变量,双击编辑 Path变量。点击新建,变量值为%JAVA_HOME%\bin ,并将它移到最前端,然后点击确定。这样就配置成功了
5.检验是否配置成功
5.1.按键盘win+R,打开运行,输入cmd 指令,点击确定进入命令行窗口。
5.2.那么输入java -version获取当前安装的 jdk 的版本信息(注意:java后面有个空格)
5.3.那么输入javac.exe命令。
5.4.那么输入java.exe命令。
显示成功这样你的JDK就下载和安装好了
三、Burpsuite环境搭建使用
1.Burpsuite下载
1.1打开浏览器,推荐官网地址portswigger.net/burp/
1.2选择products的 Burp Suite community Edition
1.3选择 Go straight to downloads
1.4选择All releases 看看老版本吧,因为需要和jdk8匹配,如果版本太高了那么匹配不了。
1.5点击community,点击
1.6选择2017 点这版本
1.7点击download下载好,选择community版本,因为免费
2.Burpsuite安装和启动
2.1点击burpsite指令,弹出软件窗口。点击Temporary project
2.2选择Next,选择默认配置,然后单击Start Burp
2.3那么这安装启动好了
3.Burprise的功能简介
模块介绍:
Target(目标)——显示目标目录结构的的一个功能
Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的
4.Burpsuite拦截https请求使用
4.1用火狐设置代理:打开浏览器,设置>代理,然后点击设置配http代理为127.0.0.1 端口为8080
4.2下载证书,在地址栏内输入127.0.0.1:8080(或者burp,这个是很多博客中用的,但是没成功,网页报错)点击右上角的CA Certificate,进行下载证书
4.3在浏览器点击设置再输入证书,打开证书管理器,点击导入,导入那个下载的证书
4.4把两个选项勾上点击确定
那么在浏览器导入文件,BurpSuite就可以截取浏览器的https请求了
如果想要拦截https请求,那么将intercept is off改为intercept is on这样在火狐浏览器访问http就可以抓包了
那么在proxy的http history可看到host method url等信息
5.proxy
5.1 代理模块作为BurpSuite的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截在两个方向上的原始数据流。burp 代理可以用来进行攻击,如:SQL 注入,cookie 欺骗等。
5.2在Burpsuite中点击Proxy标签,在子标签中点击Options标签,启用127.0.0.1:8080进行代理。可以设置该值改变代理的端口。如果对浏览器进行拦截则需要设置浏览器中的代理与Burpsuite代理一致。
5.3在intercept标签中,按钮功能如下所示:
forward:当你编辑之后,发送信息到服务器或浏览器
drop:当你不想发送这次信息可以点击drop放弃这个信息
interceptionis on/off: 这个按钮用来切换和关闭拦截,如果按钮显示interceptions on,表示请求和响应将被拦截,如果按钮显示interception is off则显示拦截。
5.4设置interceptionis on,在火狐浏览器中访问百度,发现网页没展示,切回到intercept标签页展示如下:
5.5看看acition菜单可用的操作有哪些功能
Send to Spider 发送给spider进行爬取
Do an active scan 启动主动扫描
Send to Intruder 发送到入侵者
Send to Repeater 发送到中继器
Send to Sequencer 发送到序列发生器
Send to Comparer 发送到比较器
Send to Decoder 发送到解码器
Request in browser 在浏览器的请求
Engagement tools 参与工具
Change request method 修改请求方式,你就可以把请求的方法在 POST 和 GET 中间切换。
Change body encoding 改变正文编码,改变http请求体的编码方式,你可以在应用程序/X-WWW 格式的 URL 编码和多重表单/数据之间切换消息体的编码方式。
Copy URL 把当前的 URL 完整地复制到粘贴板上。
Copy as curl command 作为curl命令
Copy to file 这个功能允许你把选择一个文件,并把消息的内容复制到这个文件里。
Pase form file 这个功能允许你选择一个文件,并把文件里的内容粘贴到消息里。
Save item 这个功能让你指定一个文件,把选中的请求和响应以XML的格式保存到这个文件,这里面包括所有的元数据如:响应的长度,HTTP 的状态码以及 MIME 类型。
Don’t intercept requests 通过这些命令可以快速地添加拦截动作的规则来阻止拦截到的消息,这些消息和当前的消息有着相同的特征(如远程主机,资源类型,响应编码)。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
8573a58a3c79c775da.gif#pic_center)
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-tCqU48FG-1712795160636)]
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
