一、工具:Burp suite
本质是一种代理服务器,类似于fiddler;
主要是通过拦截浏览器请求报文进行修改,也拦截服务器端的响应进行修改;
针对服务端的安全测试,WEB和APP都适用;
使用这个工具,产品进行测试,找出可能存在的漏洞才是这个工具的使用目的;
二、理论:模拟黑客的攻击方法,找漏洞。
1、攻击手段:
(1)获取别人信息
(2)恶心别人
2、web安全漏洞,三大部分:
①. 输入输出验证不充分:攻击对象是服务端,攻击手段是通过浏览器的输入框
②. 设计缺陷:网站架构问题,
③. 环境缺陷:开发环境缺陷,spring mybatis
三、使用基础
1、给浏览器设置代理服务器,拦截浏览器的所有请求。由brup决定这个请求是佛偶发送到服务端,同时也决定服务端的响应是否发送给客户端浏览器
2、解压打开brup,找到BrupUnlimited.jar的jar包所在目录。按住shift,右键打开命令行。就打开了当前jar包所在的目录。输入【java -jar jar包目录\BrupUnlimited.jar】用java的方式启动这个软件