一、来源页伪造
点击访问
点击搜索引擎数据查询平台
可以看到提示信息:当前页面只允许从google.com访问,所以需要改变数据包的来源
利用burp suite抓取到数据包,其中referer属性可以用来跟踪web请求是从什么网站来的,即来源。所以,修改值为google.com
(比如我在www.google.com 里有一个www.baidu.com 链接,那么点击这个www.baidu.com ,它的header 信息里就 Referer=http://www.google.com)
burp suite发送数据报即可看到结果。
二、浏览器信息伪造
点击访问进入
点击文章
提示需要使用苹果手机在2G网络下访问,根据页面提示,抓包分析除了判断浏览器类型还判断了微信特有的NetType。百度搜索NetType,找到苹果手机2G情况下对应的代码。
修改user agent(User-Agent 首部包含了一个特征字符串,用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。)的值
发送数据包,观察结果。
三、HTTP动作练习
点击访问
解题方向提示:通过POST方式提交"content"数据内容,查看服务端返回的结果。
burp suite抓到包
右击更改为post方式,发送数据包,得到结果。