初级安全入门——篡改数据包

最新推荐文章于 2024-07-03 12:56:38 发布
最新推荐文章于 2024-07-03 12:56:38 发布
阅读量930 收藏 2
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/HunterJ/p/10593638.html
版权

工具简介

  • BurpSuite:是一个用于测试 Web 应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。
    功能 模块
HTTP代理它作为一个 Web 代理服务器运行,并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量
Scanner一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描
Intruder此工具可以对 Web 应用程序执行自动攻击。该工具提供了一种可配置的算法,可以生成恶意 HTTP 请求。Intruder 工具可以测试和检测 SQL 注入、跨站脚本、参数篡改和易受蛮力攻击的漏洞
Spider一个自动抓取 Web 应用程序的工具。它可以与手工映射技术一起使用,以加快映射应用程序内容和功能的过程
Repeater一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求,重新发送它们并观察结果
Decoder一种将已编码的数据转换为其规范形式,或将原始数据转换为各种编码和散列形式的工具。它能够利用启发式技术智能识别多种编码格式
Comparer在任意两个数据项之间执行比较(一个可视化的“差异”)的工具
Extender允许安全测试人员加载 Burp 扩展,使用安全测试人员自己的或第三方代码(BAppStore)扩展 Burp 的功能
Sequencer一种分析数据项样本随机性的工具。它可以用于测试应用程序的会话令牌或其他重要的数据项,如反 CSRF 令牌、密码重置令牌等

实验场景一:数据包篡改

任务一:

实验环境:http实验场景1
通过数据包的篡改实现本地访问

BurpSuite设置监听地址(监听的端口不能与系统已有服务相冲突,该端口与浏览器代理端口要一样)
1592242-20190325143530422-894474754.png

BurpSuite设置拦截策略
1592242-20190325143802642-1521958679.png

火狐浏览器代理设置
1592242-20190325143821018-1423525497.png

未改包前
1592242-20190325143835952-1673893420.png

抓包并改包,添加头部字段X-Forwarded_For: 127.0.0.1
1592242-20190325143906332-1930658876.png
1592242-20190325143917429-1594146755.png

同理可通过数据包篡改实现异地访问
未改包前
1592242-20190325145058219-548004757.png

抓包并改包,修改Accept-Language: en-gb
1592242-20190325145108556-1078867203.png
1592242-20190325151243288-2144874709.png

任务二:

完成黑客魔法学院申请表逗逼表单
通过html源码可以看出,表单字段被限制(字段限制,其实可以通过直接修改html即可通过,但由于这个表单需要配合修改头部字段,所以直接采用修改数据包)
1592242-20190325151847278-100499836.png

使用BurpSuite改包
1592242-20190325152024248-379270771.png
1592242-20190325152030606-1729102606.png
1592242-20190325152042778-234888080.png

总结

学习使用BurpSuite,记录学习过程,使自己的掌握更加深刻,欢迎评论交流学习。

转载于:https://www.cnblogs.com/HunterJ/p/10593638.html

weixin_30627341
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9001
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
安全测试BurpSuite-抓包篡改数据
爱咋咋咋滴
09-13 1775
(3)双击下载的证书进行安装,根据向导,把证书放在“受信任的根证书颁发机构”,能够在证书管理中查看该证书,安装成功。(2) 打开浏览器,访问burp,会出现证书下载界面,点击下载CA Certificate即可。启动浏览器有两种,一种是bp自带chromeiu。点击"forward"将修改后的参数发送给浏览器。二、burp suite配置对应的代理。1、浏览器chrome/火狐安装插件。4、抓到数据后,可以修改输入参数。另一种使用配置好的浏览器。2、配置对应的代理情景。
数据包截获修改工具MonPack
08-20
数据包截取修改很好用的工具MonPack自带发送功能
【Portswigger 学院】路径遍历
最新发布
shawdow_bug的博客
07-03 1064
路径遍历漏洞的原理和一些 bypass 技巧
简单使用 Fiddler 篡改数据包
【欢迎关注公众号:冬瓜白】
04-12 3535
最近因为某小程序的严重 BUG,影响了一批用户的正常返工,早上有朋友说有人提出了可以修改数据,于是简单试了下。之前用过 Wireshark,这次用 Fiddler 试试。 Fiddler 的安装 安装地址:https://www.telerik.com/download/fiddler-everywhere 记得之前 Fiddler 在 Mac 上好像支持的不太好,今天在网上看了下,新出了一...
wpe专业汉化版(数据包修改软件)
10-24
不要做非法的事情哦。 一个修改数据包的好工具···
数据包修改、自动化脚本实现及app剖析
cky5252的博客
12-03 4618
某一个app定位功能,在任意地方定位的实现与技术分析
截包改数据完成现网包的本地测试
Amkio的专栏
02-28 504
需求人的需求有时只是一个临时想法,免费试驶但不一定真的购买。但研发人员却要为他们准备一大堆数据、文件来验证一个很不起眼的功能。就像我们,只是想把某张图片放到首页的轮播图上看看、或者换上一套皮肤看看效果,却不想通过配置后台去操作,只想让你做一套假数据看看。。。而已;现网数据研发同学不能动,测试环境人家又不认,劳苦大众的我们,只能想些旁门左道了。利用抓包软件篡改响应结果即可以实现想要的结果,对于htt...
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdate、networkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
中职网络安全竞赛数据包分析attack18.pcapng
12-20
在2022年的中职组网络安全国赛省赛中,参赛者们面临了一项极具挑战性的任务——分析"attack18.pcapng"数据包。这个文件是网络流量捕获的一种记录格式,用于保存网络通信过程中的原始数据,它为分析网络行为、检测...
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
游戏安全 手游安全技术入门pdf+源码.zip
07-24
《游戏安全——手游安全技术入门》是一本专为游戏开发者和安全从业者量身打造的教材,旨在揭示移动游戏领域的安全问题,并提供相应的解决方案。这本书详细介绍了手游安全的基础知识,包括但不限于反作弊机制、数据...
Fiddler 修改包并请求本地包
LZ0422的博客
12-06 705
Fiddler 修改包并请求本地包 标题 第一步:配置fiddler** 1.使其可以正常对web/安卓 进行抓包,如下图: 2.打开fiddler,安卓打开App输入用户名和密码并点击登录,在fiddler上会抓到相应的接口,其中有一个接口:http://readapp.tope365.com/engApi/front/sys/getversion/ 我们要通过修改这个接口的返回值来使其强制更...
参数篡改(Parameter Tampering)
qq_16229873的博客
09-10 4339
参数篡改(Parameter Tampering):此类攻击是基于对客户端和服务器之间交换参数的操纵控制,它通过修改Web应用交互中存储在cookies、提交请求、隐藏表单字段或URL查询字符串中涉及的数据参数,如用户凭证、权限、产品价格、数量等,来实现控制和更改Web应用功能。参数篡改攻击的目的是为了获取利益,或利用中间人攻击来深入攻击其他人。 在这里,参数篡改涉及的漏洞无疑就是价格操纵了,这...
phpstudy的搭建配合一个小实验
weixin_50464560的博客
03-29 677
1.phpstudy搭建 phpstudy的搭建十分简单,只要下载下来就好了,这里仅贴图 可以访问到自己的默认页面,说明搭建成功了 2.编写html页面 这里编写一个html页面,再来进一步证明一下phpstudy已经搭建成功了。 使用HTML编写一个简单的页面,页面内容包括登陆框,页面美化可以自己决定,并在编写完之后使用浏览器访问该页面。当点击登录按钮时提示“成功发送登录请求” 编写代码: 结果: 3.小实验 这里需要搭一个环境,在文末会给出 3.1.实验环境:http实验场景 通过数据包篡改
渗透必学神器:BurpSuite教程(超详细)
2301_77472496的博客
11-13 7937
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。从本节开始将为大家陆续带来BP各个模块的使用说明。
网络数据的嗅探与欺骗
qq_35192121的博客
04-17 253
(4)在攻击者主机上开启转发功能,将截获的数据包再转发出去,不影响被欺骗主机上网。(3)验证:在被欺骗的主机上查看arp表,攻击者和网关的mac地址相同。主机(被欺骗主机)作为目标2(单击Add to Target 2按钮)结果截图并作必要的说明。主机(网关)作为目标1(单击Add to Target 1按钮)结果截图并作必要的说明。结果截图并作必要的说明。(2)工作面板从上到下分三部分:结果截图并作必要的说明。结果截图并作必要的说明。以下操作步骤和结果截图并作必要的说明。结果截图并作必要的说明。
Rewrite实现指定浏览器访问
阿蔡的博客
10-13 301
一些面向WEB开发的应用,会对浏览器有一定要求,如果是IE浏览器访问,则提示此浏览器不兼容,建议更换chrome浏览器继续访问。这个如何来实现呢? 这里主要使用到nginx的一个rewrite规则。可以在Chrome下模拟不同的浏览器来测试。 首先,使用chrome打开测试主机192.168.68.128上的nginx发布页面,F12调出开发模式 点击窗口右上角三个圆点,More tools-Network conditions 可以看到User agent,主要使用user agent这项来设定rew
医疗外科机器人的数据安全篡改策略
本文主要探讨了在医疗外科机器人的应用程序系统设计中,如何提升数据安全性和防止网页篡改的问题。首先,文章介绍了三种常见的网页防篡改技术,包括外挂轮巡技术、核心内嵌技术和事件触发技术。这些技术通过定期检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值