截包改数据完成现网包的本地测试

最新推荐文章于 2023-07-05 11:04:20 发布
最新推荐文章于 2023-07-05 11:04:20 发布
阅读量499 收藏
点赞数
分类专栏: BURP

需求人的需求有时只是一个临时想法,免费试驶但不一定真的购买。但研发人员却要为他们准备一大堆数据、文件来验证一个很不起眼的功能。就像我们,只是想把某张图片放到首页的轮播图上看看、或者换上一套皮肤看看效果,却不想通过配置后台去操作,只想让你做一套假数据看看。。。而已;

现网数据研发同学不能动,测试环境人家又不认,劳苦大众的我们,只能想些旁门左道了。

利用抓包软件篡改响应结果即可以实现想要的结果,对于http协议抓包软件都可以直接进行响应数据的修改。但是对于https协议,不同的软件支持的程度不一样。

我最常用的burp就折腾了我好几天~~~~~~

首先,burp不支持将https转成http

其次,burp不支持将请求映射到本地文件

所以,只能让自己本地的tomcat支持https,然后再把请求映射到本地服务上。

BURP

使用jdk工具keytool生成一个ssl测试用证书, 一路按照提示操作输入即可
  1. keytool -genkey -alias tomcat -keyalg RSA -keystore  F:\sso\wms.keystore 

2)tomcat配置修改

修改conf下server.xml配置,打开https端口配置

  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.                maxThreads="150" scheme="https" secure="true"  
  3.                clientAuth="false" sslProtocol="TLS"  
  4.                keystoreFile="F:\sso\wms.keystore"  
  5.                keystorePass="123456" /> 

二、部署默认App

启动tomcat ,直接访问 https://localhost:8443/访问

三、拦截响应

打开burp,配置Proxy > Option > Proxy Listeners



四、手机设代理


撞撞小屁股
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fiddler 接口手工测试 截包
a_Seal_with_code的博客
08-31 376
fiddler 截包
Fiddler 修并请求本地
LZ0422的博客
12-06 702
Fiddler 修并请求本地 标题 第一步:配置fiddler** 1.使其可以正常对web/安卓 进行抓包,如下图: 2.打开fiddler,安卓打开App输入用户名和密码并点击登录,在fiddler上会抓到相应的接口,其中有一个接口:http://readapp.tope365.com/engApi/front/sys/getversion/ 我们要通过修这个接口的返回值来使其强制更...
初级安全入门——篡数据
weixin_30627341的博客
03-25 927
工具简介 BurpSuite:是一个用于测试 Web 应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。 功能 模块 HTTP代理 它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修在两个方向上通过的原始流量 Scanner 一个 Web 应用程序安全扫描器,用于执行 Web ...
惊讶,现网数据竟然随便拿来当做测试数据
测试小小的博客
03-19 701
再讲这个事情之前,我先来讲两个例子: Case1: 国内某个通信巨头A的研发工程师为了快速解决一个客户的网上问题,私自拷贝了客户的数据, 最后圆满结局了客户的问题, 客户却投诉了这个工程师, 认为工程师偷取公司的运营核心数据, 最后结果是:通信巨头A给客户赔偿损失且开除了解决问题的工程师 case2: 某个软件开发商, 私自拉取了客户数据进行问题的定位, 客户没有开启自动退款, 但是...
网截例子 封数据截取修
02-13
网截例子,封数据截取修发,封截取修,封截取
bv.zip_分类
09-24
经典的网分类算法BV,linux环境下运行
基于网络处理器应用中网保序机制研究.pdf
09-30
网络处理器(NP)是一种特别为网络数据处理进行优化的可编程芯片,它结合了通用处理器的低价格和高灵活性以及专用芯片(ASIC)的高速度和可扩展性。这种处理器在下一代网络发展技术中占据核心地位,目前已有超过500个...
论文研究-一种基于几何区域分割的网分类算法.pdf
07-22
分类算法HyperSplit采用了二分查找树结构进行查找, 其决策树深度较大, 规则复制较多, 无法保证算法的时间性能。针对以上问题, 提出了一种基于几何区域分割的网分类算法MP2S。该算法采用多点切分和冗余覆盖删减...
Linux下内核空间以太网的捕获设计.pdf
09-06
Linux下内核空间以太网的捕获设计.pdf
DbProviderFactory同时支持Sql Server和Oracle的注意事项【原创】
08-26
DbProviderFactory同时支持Sql Server和Oracle的注意事项,以及DbProviderFactory的用法
网络抓包与HTTP协议
weixin_46075647的博客
11-06 414
文章目录一、TCP(Transmission Control Protocol,传输控制协议)1、TCP头格式2、TCP协议中的三次握手和四次挥手二、HTTP(HyperText Transfer Protocol,超文本传输协议)1、请求报文结构三、Wireshark四、采用wireshark抓包1、选择接口2、过滤3、观察TCP三次握手四、总结五、参考链接 一、TCP(Transmission Control Protocol,传输控制协议) TCP是一种面向连接(连接导向)的、可靠的基于字节流的传输层
渗透测试-暴力破解之验证码客户端验证绕过
lza20001103的博客
05-01 5452
暴力破解之验证码客户端验证绕过
暴力破解之验证码识别
希望我的博客,能帮上你解决学习中工作中所遇到的问题
04-10 4335
渗透测试过程中,现在验证码越来越多,这对测试的时候遇到的阻力不小,一位大佬给我安利了一个burp插件,Captcha-killer,可以自动对验证码进行识别,从而进行暴力破解。验证码识别是使用了python的开源验证码识别接口ddddocr模块。使用burp抓包,把验证码的发到Captcha-killer模块。本地尝试一下运行脚本,出现下面信息,代表运行成功。下载好Captcha-Killer模块,选择生成器,这样就可以进行暴力破解啦。【下载不了的,我把安装放到文末】回到插件,点击获取验证码。
Fiddler 工具的使用
最新发布
Flora's Zone
07-05 2566
Fiddler是一个本地化的工具,不需要依托其他组件。它对 HTTP 支持较好,且操作简单易上手。它功能强大,有截包、篡数据、限速等功能,能很好地辅助测试
Could not load [oracle/sql/converter_xcharset/lx20354.glb].
披甲上战场的博客
04-06 2299
Illegal access: this web application instance has been stopped already. Could not load [oracle/sql/converter_xcharset/lx20354.glb]. The following stack trace is thrown for debugging purposes as well as to attempt to
Could not load oracle/sql/converter_xcharset/lx20354.glb.
weixin_33898876的博客
10-12 875
一、错误描述: 此错误导致了web 服务器停止服务,应该属于“不能连接Oracle”的错误。 二、具体错误信息: 信息: Illegal access: this web application instance has been stopped already.  Could not load oracle/sql/converter_xcharset/lx20354.glb.  The ...
phpstudy的搭建配合一个小实验
weixin_50464560的博客
03-29 675
1.phpstudy搭建 phpstudy的搭建十分简单,只要下载下来就好了,这里仅贴图 可以访问到自己的默认页面,说明搭建成功了 2.编写html页面 这里编写一个html页面,再来进一步证明一下phpstudy已经搭建成功了。 使用HTML编写一个简单的页面,页面内容括登陆框,页面美化可以自己决定,并在编写完之后使用浏览器访问该页面。当点击登录按钮时提示“成功发送登录请求” 编写代码: 结果: 3.小实验 这里需要搭一个环境,在文末会给出 3.1.实验环境:http实验场景 通过数据的篡
最详细,Fiddler使用教程 (定位/抓包/篡数据) 工作中真实应用......
大佬云集技术答疑交流群:743262921(进群暗号:222)
03-26 4275
定位前后端bug当我们操作页面端发现一个bug时,对业务充分熟悉且有足够经验的测试工程师可以直接判断是否前后端bug;但无经验的不要慌,可通过fiddler抓取request、response数据,分析定位前后端bug。Fiddler怎么配置以及怎么抓取数据,前面有写,这里不再过多叙述。查看请求的http状态码是否正确。例:若抓取到的请求返回的http状态码为404,说明可能是前端JS 提交了错误的地址,也可能是后端服务器没有对应地址的服务;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值