以下内容仅供参考,笔记是自己在假期学习网络安全做的笔记,供自己以后查看,笔记略乱
目录
burpsuite漏洞扫描工具
Ubuntu下burpsuite安装
启动Burploader.jar包
java -jar /opt/burpsuite/BurpLoader.jar
安装成功之后打开,
查看proxy - options下的接口是127.0.0.1:8080,running打上勾,如下图
修改浏览器的http代理地址为127.0.0.1,端口为8080
检查是否安装成功
用浏览器随便输入一个http的网址,查看burpsuite下的proxy 下的intercept是否得到一个数据包,抓到一个请求
那burpsuite如何抓取https的包呢?
访问http://burp
点击右上角下载证书
把证书添加到浏览器设置中的信任证书一栏
设置浏览器代理地址
图
逻辑关系
编辑burp代理
图
百度查找
手机代理设置
手机证书添加
把刚刚下载的证书添加到手机上
抓包内容分析
图
post请求内容格式
web请求
http://www.farmsec.org/forum.phpmod=forumdisplay&fid=52
http://www.farmsec.org/forum.php/search/ford/fid
返回结果
1xx;提供信息
200请求成功提交
3XX 客户端被服务器定位其他
4XX 请求是错误的,比如无请求资源
5XX服务器出现错误
https只负责两端加密,等于http+SSL/TLS
编码
unicode /URL /UTF-8/Unix时间戳/html/base64
URL编码:
%3d在中是=
%25是%
%20代表空格
%00
在burpsuite中有解码工具
具体只有强加练习