3.Burp Suite 入门篇 —— 修改请求

最新推荐文章于 2024-04-29 12:32:03 发布
最新推荐文章于 2024-04-29 12:32:03 发布
阅读量1.6k 收藏 19
点赞数 30
分类专栏: Burp Suite 文章标签: 服务器 运维 网络安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouTheFreedom/article/details/137540201
版权
本文详细介绍了如何通过BurpSuite的BurpProxy修改请求,注册官网账号,访问WebSecurityAcademy靶场,模拟购物网站登录,检测并利用漏洞的过程。
摘要由CSDN通过智能技术生成

目录

前言

官网注册

Burp 浏览器访问漏洞页面

登陆购物网站账号

修改请求包

漏洞挖掘

前言

本篇文章会教你如何用 Burp Proxy 修改截获的请求。

修改请求包是为了通过网站程序规定之外的方式请求,然后对比查看响应内容的变化,判断是否有漏洞存在。burpsuite 官网提供了配套的学习靶场 labs(实验室),方便我们在实战模拟环境里识别和利用漏洞。

官网注册

要访问靶场的话,需要先在 burpsuite 官网 https://portswigger.net 上免费注册帐户。

进入官网后点击页面右上角登录按钮 login

点击右下角 Create account 注册按钮

按提示写好自己的邮箱地址

然后按提示到自己邮箱查看注册邮件,

点击右键中的 Click here 链接

然后进入新页面,按提示输入自己的昵称,点击 Register 注册

进入到密码页面,该页面无法再次打开,所以一定要记好密码哦

也可以点击右侧的 COPY PASSWORD 按钮一键复制密码,保存好密码后退出页面

最后到登陆页面,填写自己的账号密码确认,就可以进入个人主页了

Burp 浏览器访问漏洞页面

打开 burpsuite,转到 Proxy > Intercept 选项卡,确保拦截按钮已关闭

启动 Burp 浏览器并访问下面网址:

Lab: Excessive trust in client-side controls | Web Security Academy

点击页面按钮 ACCESS THE LAB,进入靶场

如果提示登陆,就先登陆之前注册好的 Burp 官网账号,等页面加载几秒钟后,就能看到靶场的虚拟购物网站了。

登陆购物网站账号

点击购物网站靶场页面的 My account,使用以下凭据登录:

Username: wiener

Password: peter

登陆后账户有 $100 的商店积分

点击右上方 Home,返回商场主页,选择商品 Lightweight "l33t" Leather Jacket,点击下方 View details 查看商品详情

burpsuite 切换到 Proxy > Intercept 选项卡,打开拦截功能

返回浏览器页面,点击商品详情页面底部的 Add to cart 添加到购物车

Burp 会自动拦截生成的 POST /cart 请求。

注意:

如果浏览器正在后台执行其他请求操作,开始可能会在 Proxy > Intercept 选项卡上看到不同的请求。

这时候只需点击 Forward,直到看到报文内容第一行是 POST /cart 请求,如下面的截图所示。

修改请求包

修改报文里的 price 参数值为1,然后单击 Forward 把修改后的请求转发给服务器。

再次关闭拦截功能,以便任何后续请求都可以直接通过 Burp Proxy,不影响页面的正常访问。

漏洞挖掘

回到 Burp 浏览器页面,单击右上角的购物篮图标

这件夹克在购物篮里的价格被我们修改到了只有一美分

在日常的网上购物中,我们很难通过页面修改价格

但是通过 burp 能轻易地修改请求里的价格参数,从而发现隐藏的漏洞

银河外卖员
关注
  • 30
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burp入门第二十六篇】Burpsuite实现请求方式修改+请求体文件选取
等风来
04-08 926
有时我们想将请求包的请求方法或请求体进行修改,这些操作可以由burpsuite完成,以节省时间。如果我们想将其修改为POST且传递POST参数、上传文件,可以按以下步骤
请求头注入神器 -- BurpHeaderHelper(Burpsuite、bp插件)
墨痕诉清风的博客
01-17 2148
1、加载插件: Extender -> Burp Extensions -> Add -> Select File... -> Next -> BurpHeaderHelper-xxx.jar。),通过一些浏览器的插件可以去除这些头信息,但是实际的情况是总会有这些冒出来(可能是插件不给力或者我使用方式不对?BurpHeaderHelper是基于Burpsuite的插件,通过自定义规则的来对Http请求头进行增删改操作。在服务器上查看对应的请求,可以看到相应的几个头信息都被去除。
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求修改请求参数,查看返回结果
06-09
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求修改请求参数,查看返回结果
使用 BurpSuite 基于 Token 机制实施暴力破解
最新发布
Flag少侠的博客
04-29 1593
Token是一种用于身份验证和授权的令牌,通常由服务器生成并发送给客户端,客户端在后续的请求中携带该令牌来进行身份验证和授权操作。Token的使用可以增强应用程序的安全性,避免了直接传递敏感凭证(如用户名和密码)的风险。在Web应用程序中,常见的Token类型包括:1. 访问令牌(Access Token):用于授权访问受保护的资源。客户端在请求中携带访问令牌,服务器验证令牌的有效性后,根据令牌中的权限信息决定是否授权访问资源。2. 刷新令牌(Refresh Token):用于获取新的访问令牌。
BurpSuite 基本使用之修改请求
白帽渗透笔记的博客
07-09 5185
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 安装 需要先安装 Java 环境,安装好后直接使用 java -jar 命令运行 BurpSuite 的 jar 包即可,公众号后台回复 “burp” 即可获取BurpSuite 的 jar 包。 代理 使用之前,需要先设置代理,推荐使用谷歌浏览器,推荐使用代理插件.
【web安全】使用burpsuite拦截,篡改,转发请求
热门推荐
ft4729710的专栏
02-27 2万+
Burp Suite 是用于攻击web应用程序的集成平台,有了这玩意儿可以拦截web站点的请求地址、参数等信息,拦截之后就可以对参数进行篡改,再次转发回服务器,以达到不可告人的目的... 下面拿“飞牛网”的搜索功能作为示例: 先看下正常搜索结果,搜索关键字“nike鞋” ,结果为相关品牌和商品: 步骤一:设置burpsuite代理地址和端口并开启拦截,设置浏览器的代理服务
Burpsuit使用03:拦截请求修改响应
汪敏的博客
06-16 6454
burpsuite是渗透的必备工具,使用它可以进行一些截包分析,修改包数据、暴力破解、扫描等功能,使用最多的场景应该是设置代理拦截数据包分析数据和爆破。
安全测试BurpSuite-抓包篡改数据
爱咋咋咋滴
09-13 1582
(3)双击下载的证书进行安装,根据向导,把证书放在“受信任的根证书颁发机构”,能够在证书管理中查看该证书,安装成功。(2) 打开浏览器,访问burp,会出现证书下载界面,点击下载CA Certificate即可。启动浏览器有两种,一种是bp自带chromeiu。点击"forward"将修改后的参数发送给浏览器。二、burp suite配置对应的代理。1、浏览器chrome/火狐安装插件。4、抓到数据后,可以修改输入参数。另一种使用配置好的浏览器。2、配置对应的代理情景。
BurpSuite2.1.06.zip
12-22
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用...
AutoRepeater:使用Burp Suite重复执行自动HTTP请求
02-06
AutoRepeater:使用Burp Suite重复执行自动HTTP请求 tl; dr 在扩展器中导入AutoRepeater.jar 一些简要说明 AutoRepeater将仅重新发送由已定义的替换更改的请求。 当AutoRepeater收到与为给定选项卡设置的条件相匹配...
burpsuite_pro_v2022.2.5.jar
04-23
burpsuite_pro_v2022.2.5.jar
BurpSuite手册-003-使用Burp Repeater重新发出请求
06-24
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
Burp Suit设置拦截并修改request和response
weixin_54787369的博客
02-28 4998
本文介绍关于Burp Suit中对request和response进行拦截并修改的相关配置 1、Burp Suite下载、安装 2、Burp Suite常用功能使用方法总结 一、拦截修改request 1、进入Proxy–Options–Intercept Client Requests设置request拦截的相关配置 2、关于request拦截修改在“渗透工具–Burp Suite常用功能使用方法总结”中已做相关操作演示说明,故此处不再赘述 下附链接,请自行查阅 渗透工具–Burp Suite常用功能使
渗透测试实战-BurpSuite 使用入门
似水流年的博客
12-14 2299
近期笔者在学习 web 渗透测试的相关内容,主要是为了公司之后的安全产品服务。渗透测试本身在学习过程中还是很有意思的,有一种学习到了之前想学但是没学的黑客技术的感觉,并且对笔者已掌握的许多知识做了有益的补充。要学习渗透测试,首先需要明白什么是渗透测试,以及如何进行渗透测试,这其中很多资料可以在网上找到。渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。渗透测试人员使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。渗透测试通常会模拟各种可能威胁您业务的攻击。
Brup Suite修改request/response
haha的博客
07-05 1459
Brup Suite
SQL注入——基于联合查询的POST注入
qq_52072846的博客
02-18 1126
实验目的: 理解数字型GET注入的原理和特点,掌握利用联合查询(union select)的方法实现SQL注入的基本流程 实验原理 POST注入,其注入点存在于POST表单中的参数处。攻击者可以通过代理抓包 工具(如Burpsuite)拦截并修改POST表单中的参数,利用union select命令进 行注入,暴露数据库中存储的信息。 实验步骤 本实验的目标是:以SQLi-Labs网站的Less-11为入口,利用联合查询(union select)的方式实施SQL注入,获取SQLi-Labs.
Burp入门第四篇】使用BurpSuite修改请求+实战0元购
等风来
04-06 566
修改 Burp Proxy 中拦截的请求,可以使我们以网站未预期的方式操纵请求,以查看其响应方式或发现漏洞。可以看到,请求体中有一个名为price的参数,它与商品的价格(以美分为单位)相匹配,同时参数值以明文传输。思路:参数是否在Burp中以明文传递,是否可以修改参数达到1元购、0元购甚至使账户数额增加?操作:在商品信息页面开启浏览器的Burp代理,开启Burp拦截,并点击。再次关闭拦截,以便任何后续请求都可以不间断地通过 Burp 代理。,将修改后的请求发送到服务器。至此,我们实现了近似0元购。
Burp Suit使用方法和抓包教程
qq_74271464的博客
04-23 6373
Burp Suite是一款常用的渗透测试工具,它包含了多个模块,其中的Proxy模块可以用于抓包和修改HTTP/HTTPS请求,而Burp Suite Loader则是一款自动化配置Burp Suite代理的工具。在浏览器的代理设置中,将HTTP代理和HTTPS代理均设置为127.0.0.1:8080,这样浏览器中的所有HTTP/HTTPS请求都会经过Burp Suite代理进行拦截和修改。双击Burp Suite的可执行文件,然后在弹出的窗口中选择“Proxy”模块,即可进入Proxy模块的主界面。
burpsuite中post请求
11-28
Burp Suite是一款常用的渗透测试工具,其中的Proxy模块可以用来拦截HTTP请求和响应,对请求进行修改和重放。下面是使用Burp Suite进行POST请求的步骤: 1. 打开Burp Suite,点击Proxy选项卡,确保Intercept功能处于拦截状态。 2. 在浏览器中访问需要测试的网站,Burp Suite会自动拦截请求。 3. 在Proxy > Intercept中,可以查看到被拦截的请求,包括请求头、请求体等信息。 4. 修改请求体中的参数,可以直接在请求体中修改,也可以使用Burp Suite提供的参数编辑器进行修改。 5. 点击Forward按钮,将修改后的请求发送给服务器。 6. 查看服务器返回的响应,可以在Proxy > Intercept中查看到响应的详细信息。 如果需要开启内置浏览器拦截HTTP请求,可以按照以下步骤进行: 1. 在Burp Suite中点击User options > Display,将Browser模块的Use Burp Proxy作为系统代理选项打开。 2. 在Browser模块中点击Open Browser,打开内置浏览器。 3. 在内置浏览器中访问需要测试的网站,Burp Suite会自动拦截请求。 4. 操作与上述步骤相同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值