Web学习index.php、burp抓包爆破、XFF与Referer

最新推荐文章于 2024-07-05 23:49:10 发布
最新推荐文章于 2024-07-05 23:49:10 发布
阅读量3.4k 收藏 1
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53099802/article/details/124323830
版权

一:网站首页index.php

网站首页可能会与其他php页面进行捆绑,即跳转至其他页面,可通过网页开发者工具查看

也可通过burp抓取到

二:burp的抓包与字典爆破

(抓包过程后续补充)

简续:burp通过设置代理服务器,卡在浏览器与网页服务器之间,截取发送或者收到的网页数据包,通过修改、添加等等,再返回网页服务器。

在修改或添加字符后,选择do interecpet响应服务器,获取新的网页页面

爆破:通过在抓取页面的interecpert中send to intruber到intruber中,再通过添加变量,字典等等进行爆破。

三:XFF与Referer

XFF,全称X-Forawared-For,属于SQL注入的一种,代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库或某文件[通过修改XXF头可以实现伪造IP]),即可以通过其伪造ip。

Referer:HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

托物言志
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
XFFReferer(含实操)
热门推荐
slj1552560的博客
02-16 2万+
Part1:XFFReferer基本了解 关于xffreferer维基百科: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求字段。 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。简单地说,xff是告诉服务器当前请求者的最终ip的http请求字段通常可以直接通过修改http
Burp插件之BurpSuitFake
2301_80115097的博客
05-09 292
在最近的测试中发现一个问题某些高校在在登陆教务平台登陆的时候没有设置验证码而且重点是 他写的很清楚 密码是身份证后六位以下是我的一些思路和过程中解决的办法。
XFFreferer
weixin_30471065的博客
06-11 1086
XFF构造来源IP Refer构造来源浏览器 转载于:https://www.cnblogs.com/-zhong/p/11001857.html
XffRefer
HELLOW,文浩
07-26 2914
Xff是一个 HTTP 扩展部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反向代理中经常使用X-Forwarded-For 字段。
burp抓包+爆破
m0_46194296的博客
07-21 92
发现是通过计算获得 每一次打开网页都会获得一个不一样的token,因为token会展示在前段的源码当中所以是可以进行绕过的。send 到repeater里面进行查看如果去掉验证码也可以进行通过 说明 根本没有监测机制 直接进行爆破。先看浏览器的源码看token的生成方式 fn f12。每一次第一个尝试必报错token错误 (暂时未知为什么)关键在于尝试多种情况的输入 加验证码和不加验证码。填写好正确的 试一下 然后暴力破解。pikachu暴力破解。proxy 打开浏览器。附上一些burp的讲解。
WeChat2.7.0_beta.exe burp抓包专用
12-15
微信测试版本下载,用与burp抓包测试
BurpSuite.rar 抓包工具
06-16
BurpSuite 抓包工具 java
burp抓包工具
03-11
burp抓包工具,免费的burp,下载后解压课直接使用,需要java环境
Burp爆破Burp爆破 常用用户名字典
03-22
简单学习使用的Burp爆破 常用 常见 用户名字典
httd.v6p.coindex.php,微擎的部署,BASE URL 调整为:/cmpmain/web/index.php 的实现
weixin_35890852的博客
03-16 572
1、微擎的部署,现阶段其 HOME URL 为:https://cmpmain.xxx.com 。其 BASE URL 为:/web/index.php。如图1图12、微擎的部署,希望调整一下,新阶段其 HOME URL 为:https://front.xxx.com 。以确保所有产品前端的域名统一。其 BASE URL 为:/cmpmain/web/index.php。3、其 Nginx 配置文...
BurpSuite抓包爆破tips
乱七八糟の中转站
05-01 1231
浏览器要设置代理,要抓取https的话记得装BurpSuite的证书。不知道为啥,有些带两个双斜杠的url请求抓不到包,比如http://test.test.com//files/firmwareV3.22(某固件的下载链接)。所以在爆破固件地址时,先抓包http://test.test.com/files/firmwareV3.22,再发送给intruder,再加一个斜杠进行爆破...
Burp Suite抓包爆破,怎么爆破密码
qq_33949775的博客
10-19 134
https://jingyan.baidu.com/article/4853e1e5bc96af1909f7269e.html
【无标题】用burp抓包的方法爆破解决dvwa中low等级的bool盲注获取表名:
最新发布
m0_73496792的博客
07-05 228
burp抓包的方法爆破解决dvwa中low等级的bool盲注获取表名:
攻防世界web新手关之xff_referer
weixin_45746283的博客
11-16 1723
攻防世界web新手关之xff_referer
攻防世界 web 009 XFF Referer burp
Lu__xiao的博客
11-30 1355
XFF:全名X-Forwarded:代表客户端,html请求端的真实 IP 只有通过 HTTP 代理或者负载均衡服务器时才会添加该项(可伪装) 用法: X-Forwarded-For:123.123.123.123 Referer:Referer 是 HTTP 请求 header 的一部分当浏览器或者模拟浏览器行为向 web 服务器发送请求时,部会包含 Referer (可伪装) 使用 brup 工具 kali 上自带 攻防世界 web 新手 009 XFF Refe...
php x7f-xff,PHP学习心得(九)——函数
weixin_34535286的博客
04-05 120
一个函数可由以下的语法来定义。任何有效的 PHP 代码都有可能出现在函数内部,甚至包括其它函数和类定义。函数名和 PHP中的其它标识符命名规则相同。有效的函数名以字母或下划线打,后面跟字母,数字或下划线。可以用正则表达式表示为:[a-zA-Z_x7f-xff][a-zA-Z0-9_x7f-xff]*。PHP 中的所有函数和类都具有全局作用域,可以在内部定义外部调用,反之亦然。PHP 不支持函数重...
burpsuite抓包及密码爆破实践(需要安装包的留言)
W_seventeen的博客
12-02 1395
安装burpsuite 照着视频,网上的教程尝试了好久,结果自己电脑的环境因为之前装Eclipse java的时候装了jdk13,而burpsuite用不了13的,我又费了半天劲又是注册甲骨文账号,又是下载jdk8。(吐槽下我的电脑,现在越来越垃圾了,卡的一比)需要burpsuite安装包的可以留言。 然后在火狐浏览器里面设置网络代理选择手动代理,打开burpsuite,选择代理,选择选项。然后将...
index.php是什么程序,浏览器打开index.php发生了发什么?
weixin_33980343的博客
04-08 3904
记得毕业那年,面试官问我,用户打开浏览器发生了什么,当时回答的糊里糊涂,然后糊里糊涂地被录用了。今天,我和大家分享这道面试题的。无图无真相,上图: 下面是php以cgi运行图:php以fast-cgi运行: 从php-cgi和php-fpm对比可以看到,fastcgicgi和cgi模型相比,省去了部分的过程,从而速度更快,更节省内存。早些的时候,web服务器将收到的请求交给php接口,这个借口叫...
burpsuite重写
02-28
Burp Suite是一款常用的网络安全测试工具,它提供了许多功能,包括代理服务器、漏洞扫描、攻击模块等。在使用Burp Suite时,可以通过重写功能来修改请求和响应,以实现自定义的功能或者绕过某些限制。 重写功能可以用于修改请求的参数、部信息、URL等,也可以修改响应的内容、状态码等。通过重写功能,可以实现以下一些常见的需求: 1. 修改请求参数:可以将请求中的参数值修改为其他值,用于测试目标应用程序对不同参数值的处理情况。 2. 修改请求部信息:可以修改User-Agent、Referer等部信息,模拟不同的客户端环境。 3. 修改URL:可以修改请求的URL,用于测试目标应用程序对不同URL的处理情况。 4. 修改响应内容:可以修改服务器返回的响应内容,用于测试目标应用程序对不同响应内容的处理情况。 5. 修改响应状态码:可以修改服务器返回的响应状态码,用于测试目标应用程序对不同状态码的处理情况。 要使用Burp Suite的重写功能,可以按照以下步骤进行操作: 1. 打开Burp Suite并配置代理:在Burp Suite中选择Proxy -> Options,在Proxy Listener中配置代理监听端口,并确保启用了Intercept功能。 2. 拦截请求:在浏览器中设置代理,将请求发送到Burp Suite中进行拦截。 3. 修改请求或响应:在Burp Suite的Proxy -> Intercept中,可以查看拦截到的请求和响应。选择需要修改的请求或响应,右键点击选择"Send to Repeater"或"Send to Intruder",将请求或响应发送到相应的工具中。 4. 在Repeater或Intruder中进行修改:在Repeater或Intruder工具中,可以对请求或响应进行修改。在Repeater中,可以直接修改请求参数、部信息等;在Intruder中,可以使用Payloads来批量修改请求参数。 5. 发送修改后的请求或响应:在修改完成后,可以将修改后的请求或响应发送到目标服务器进行测试。 以上是关于Burp Suite重写功能的简单介绍,希望对你有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值