web安全基础-burpsuite

最新推荐文章于 2022-12-13 10:46:05 发布
最新推荐文章于 2022-12-13 10:46:05 发布
阅读量382 收藏
点赞数
分类专栏: 网络空间安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41821067/article/details/113194367
版权

以下内容仅供参考,笔记是自己在假期学习网络安全做的笔记,供自己以后查看,笔记略乱

目录

burpsuite漏洞扫描工具

Ubuntu下burpsuite安装

启动Burploader.jar包
java -jar /opt/burpsuite/BurpLoader.jar
安装成功之后打开,
查看proxy - options下的接口是127.0.0.1:8080,running打上勾,如下图

修改浏览器的http代理地址为127.0.0.1,端口为8080

检查是否安装成功
用浏览器随便输入一个http的网址,查看burpsuite下的proxy 下的intercept是否得到一个数据包,抓到一个请求
那burpsuite如何抓取https的包呢?

访问http://burp

点击右上角下载证书

把证书添加到浏览器设置中的信任证书一栏

设置浏览器代理地址

逻辑关系

在这里插入图片描述
编辑burp代理

百度查找

手机代理设置

手机证书添加

把刚刚下载的证书添加到手机上

抓包内容分析

post请求内容格式

web请求
http://www.farmsec.org/forum.phpmod=forumdisplay&fid=52
http://www.farmsec.org/forum.php/search/ford/fid

返回结果

1xx;提供信息
200请求成功提交
3XX 客户端被服务器定位其他
4XX 请求是错误的,比如无请求资源
5XX服务器出现错误
https只负责两端加密,等于http+SSL/TLS

编码

unicode /URL /UTF-8/Unix时间戳/html/base64
URL编码:
%3d在中是=
%25是%
%20代表空格
%00
在burpsuite中有解码工具
具体只有强加练习

Nefelibat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BurpSuite工具应用及重放攻击实验
dixunzhong8774的博客
11-28 974
一、BurpSuite工具介绍 BurpSuite是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。BurpSuite能高效率地与单个工具一起工作,含如下工具箱: Proxy——是一个拦截HTTP/S的代理服务器,作为一个...
BurpSuite v2.1.zip
07-07
Burpsuite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以...
burpsuite_pro17.zip
07-30
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。该压缩文件包含软件、破解文件以及一本基础教程。软件版本1.7。
web神器BurpSuite
03-12
web安全领域最受欢迎的工具之一,功能强大,此为1.7.26版本。亲测Java8环境可以正常运行,Java10会出问题。解压密码xx123,欢迎下载
burpsuite抓包软件
10-22
关于Burp Suite Burp Suite是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用。 套件中的所有工具共享同一框架以便统一处理HTTP请求、认证、上游代{过}{滤}理、日志记录、警告等任务,具备很高的灵活性和可扩展性,允许用户结合手动和自动化技术枚举、分析和攻击Web应用程序。这些不同的工具通过协同工作,可有效地分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。使你的工作更快、更有效、更有趣。
安全测试漏洞大全
weixin_45625450的博客
08-27 4423
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息的安全则出现了隐患。..
SRC逻辑漏洞-忘记密码/邮箱密码找回/链接token时间戳参数可逆
qq_60115503的博客
11-08 836
通过邮箱找回密码的同时,邮箱中将出现一个含有token的重置URL,该token即为重置凭证,从经验来看,开发人员习惯以时间戳,递增序号,关键字段作为因子,采用某种加密算法或编码生成token,攻击者可以基于能收集到的关键字段,用常见加密算法计算一遍,以判断算法可以出token下面我将使用此靶场来进行实战测试,基于时间戳生成的token首先我们直接点击忘记密码,让我们输入用户名重置密码,这里我直接重置账号为admin点击重置密码后我们进行抓包处理,我们查看我们的请求包以及响应包。
BurpSuite官方实验室之逻辑漏洞
tpaer的博客
11-28 1855
这是BurpSuit官方的实验室靶场,以下将记录个人逻辑漏洞共11个Lab的通关过程。
burpsuite代理监听
nejore的博客
06-09 435
burpsuite代理配置
Burp-Timestamp-Editor:提供弹出菜单以在Burp消息编辑器中编辑Unix时间戳
03-18
提供一个GUI,以在Burp消息编辑器中查看和编辑Unix时间戳。 选择时间戳,然后右键单击并选择“编辑时间戳”或“查看时间戳”。它可以处理以秒,毫秒和微秒为单位的时间戳(尽管UI会将其还原为0毫秒/微秒)。 “编辑时间戳”菜单仅在可编辑对象上可用,并且如果无法将所选值解析为时间戳,则该菜单将被禁用。如果可以解析,则菜单项上还会显示一个工具提示,以显示日期,以进行快速转换。 如果可以将所选值解析为时间戳,则“查看时间戳”菜单可用于其他对象(例如,代理历史记录)。同样,如果可以解析,则有一个工具提示。 上下文菜单 日期选择器 工具提示 观看者 此扩展使用库。
burpsuite破解版和实战指南
06-27
我觉得有必要整理一套全面的BurpSuite中文教程,算是为web安全界做尽自己的一份微薄之 力,也才有了你们现在看到的这一系列文章。 我给这些文章取了IT行业图书比较通用的名称: 《BurpSuite实战指南》 ,您可以称我为...
BurpSuite1.7.30破解版
07-27
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,...
获取秒级时间戳和毫秒级时间戳---基于python
dianqianwei8752的博客
01-16 296
获取秒级时间戳和毫秒级时间戳 import timeimport datetime t = time.time() print (t) #原始时间数据print (int(t)) #秒级时间戳print (int(round(t * 1000))) #毫秒级时间戳 nowTime = lam...
Weblogic中间件漏洞复现
mingyqf的博客
02-16 3500
1.Weblogic介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(applic
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9399
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
业务逻辑漏洞之登录、支付漏洞、伪随机验证码、密码找回
m0_51822230的博客
04-25 657
登录漏洞原理 因为http连接,或者是cookie和session验证不完全导致的任意用户登录的漏洞。 漏洞利用 1.暴力破解 在http中,报文是以明文传输的。我们可以直接使用burp进行暴力破解。而对于https来讲密码一般是以密文来进行传输的,我们在这种情况下就不能直接爆破,而是要知道报文的加密类型,然后再intrude模块中进行选择。 2.cookie脆弱性 漏洞产生原因 例如一个系统再源码中的cookie验证只是验证了有没有cookie,只要不为空就执行跳转,而没有对内容进行限制。 这样就随便加一
BurpSuite系列(三)----Spider模块(蜘蛛爬行)
热门推荐
fendo
01-15 2万+
一、简介 Burp Spider 是一个映射 web 应用程序的工具。它使用多种智能技术对一个应用程序的内容和功能进行全面的清查。 Burp Spider 通过跟踪 HTML 和 JavaScript 以及提交的表单中的超链接来映射目标应用程序,它还使用了一些其他的线索,如目录列表,资源类型的注释,以及 robots.txt 文件。结果会在站点地图中以树和表的形式显示出来,提供了一个清
STRINGS工具使用
qq_41821067的博客
02-15 2444
目录运行环境 windowsXP步骤一步骤二 今天做安全练习题的时候有用到STRINGS工具对dll文件进行静态分析,网上找了很多资料,记录一下 strings:支持win10和XP的strings工具,可以用来扫描文件中包含的字符串 运行环境 windowsXP 步骤一 cmd 打开命令窗口,进入strings工具所在的文件夹 步骤二 strings 运行文件路径 ...
burpsuite官网文档
最新发布
07-06
Burp Suite是一款全球著名的Web应用安全测试工具,它的官网提供了详细的文档和教程,方便用户学习和使用。 Burp Suite的官网文档涵盖了各个模块的介绍、功能说明和操作步骤。用户可以通过官网文档了解Burp Suite的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nefelibat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值