WEB安全学习第二天:BurpSuit的使用

最新推荐文章于 2024-05-17 12:57:57 发布
最新推荐文章于 2024-05-17 12:57:57 发布
阅读量591 收藏 1
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43171447/article/details/124216824
版权

1.实验环境与工具

www.mozhe.cn 漏洞平台

BurpSuit抓包代理工具

2.实验任务

2.1通过修改GET数据包中Referer字段实现对发出请求网址的伪装

2.2通过修改User-Agent实现对客户浏览器的伪装

2.3 GET对url长度有限制,此时应改为POST,将请求content移至末尾请求体部分

Content-Type的格式:

Content-Type:type/subtype ;parameter

type:主类型,任意的字符串,如text,如果是*号代表所有;

subtype:子类型,任意的字符串,如html,如果是*号代表所有,用“/”与主类型隔开;

parameter:可选参数,如charset,boundary等。

2.4使用BP的测试器攻击功能,通过X-Forwarded-For设置动态ip来实现攻击

加入X-Forwarded-For字段,设置一个IP

将该包加入测试器,攻击目标会自动填入

 

 

设置IP字段随机数

 

 

 

开始攻击

 

攻击成功

 

放包查看

 

Hann1bal
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-HTTP头注入漏洞测试(X-Forwarded-for)
asd158923328的博客
08-21 2232
根据题意 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 进入环境,打开跳转页 打开Burp Suite ,抓包,右键发送给repeater,填入X-Forwarded-For,首先判断是否可注入。 order by 判断表数量,从1开始依次试试,最后发现是4 union select 1,2...
burpsuit 使用说明
02-27
Burp Suite 是用于攻击web 应用程序的集成平台。工具箱:Proxy、Spider、Scanner、Intruder、Repeater、Sequencer、Decoder、Comparer
BurpSuite 爆破的一次坑
weixin_46591320的博客
02-18 1648
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
一次Burp Suite修改内容的练习
xhscxj的博客
09-30 914
本文对应测试链接源自 墨者学院:投票常见漏洞分析溯源 首先进入后如下 图中所述投票给a2019争取第一名,现在a2019的票数是88票我们的目的则是让它的票数反超第一。 首先打开Burp Suite 在Burp Suite和浏览器中设置代理 设置完代理之后用Burp Suite中的Proxy模块开始截断流量 下图中已经截取到了我们发送的流量 将流量发送到Repeater模块中进行测试 我们将测试...
安全测试必学神器 --BurpSuite 安装及使用实操
最新发布
朱雀随云记的博客
05-17 1667
点击查看其返回结果,查看Render页面回显,提示"Welcom ....",说明password为正确密码,登录成功。再去支付界面点击“立即购买”。3、再去操作登录,输入admin、密码先随意输入一个,点击Login,就可以看到拦截的登录信息。一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
xff_referer知识
weixin_63231007的博客
03-13 528
009 xff_referer 题目说,xff和referer是可以伪造的。 所以我们用burp抓包网站,然后send to repeater,在请求头添加X-Forwarded-For:123.123.123.123,send后,又得知来源必须来自https://www.goole.com/,所以我们再在请求头添加Referer: http:www.goole.com/ ,得到flag。 伪造方式: 1.用Firefox的插件x-forwarded-for 更改 2.burp抓包,发送到repe
X-Forwarded-For注入漏洞实战
Language_Sumuzhe的博客
05-23 7615
题目:X-Forwarded-For注入漏洞实战 知识点: 是HTTP请求头中XFF的伪造和应用,是一道借用XFF来爆破数据库、表、列以及列值的题目。先输入账户为admin,密码为123456进行登录尝试,出现了弹窗,仔细观察弹窗会发现类似IP地址格式的112.111.12.126数据存在,猜测这是服务端记录并显示了客户端的IP地址。 首先了解服务端如何获取客户端请求IP地址? 服务端获取客户端请求IP地址,常见的包括:x-forwarded-for、client-ip等请求头,以及remote_add
java web开发实战1200例 第二卷 源码
04-01
范围两个压缩部分,请留意下载后解压!...《Java Web开发实战1200例(第2卷)》非常适合Java Web项目开发人员、Java Web初学者及编程爱好者使用,同时也可以作为培训机构、大中专院校老师和学生的实践参考用书。
Web安全培训ppt(适合初学者)
10-31
Web安全学习大纲 一、Web安全系列之基础 1、Web安全基础概念(1天) 互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。 2、web面临的主要安全问题(2天) 客户端:移动APP漏洞、浏览器...
第二期 web用无损高清图片近4000张
09-28
第二期 web用高清图片4000张、均为本人一张一张搜集 其中包含以下分辨率: 32px x 32px 282张 均为png无损格式 48px x 48px 69张 均为png无损格式 64px x 64px 165张 均为png无损格式 128px x 128px 3050张 均为png...
Burp Suite之intruder的四种攻击模式
qq_56313338的博客
07-23 691
详细介绍了Burp Suite之intruder的四种攻击模式
墨者X-Forwarded-For注入漏洞实战
wswr的博客
03-10 724
思路:反正首先按照正常测sql注入点,我们都要对各个地方试试,什么看源码找可能存在的注入点,或者遇事不觉弱口令啥的,但是既然题目是XFF注入,那基本就是提交会对ip检测,因而存在注入点 总结:注入点的掌握,sqlmap抓包的使用和技巧(*),细心 ps:为什么不手巧代码,方便大伙复制命令,绝对不是因为懒,是因为自己敲一遍更有感觉,嗯嗯,没错!(我他喵敲了好多遍) admin/admin登入发现确实存在对ip的检测 然后就是burpsuite抓包改X-Forward-For字段 发.
WEB安全-伪造X-Forwarded-For绕过服务器IP地址过滤
06-01 2万+
转自:http://www.jianshu.com/p/98c08956183d 在正常的TCP/IP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。 实现TCP/IP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。对于绕过服务器的IP地址过
X-Forwarded-For伪造及防御
weixin_30564785的博客
03-21 1608
使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。 防护策略: 1.对于直接使用Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP; 2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则...
x-forward-for详解
真理部
10-09 1万+
http://www.cnblogs.com/xdjackfeng/p/3514120.htmlx-forward-for
X-Forwarded-For绕过服务器IP地址过滤
公众号shadow sock7
06-03 1万+
参考: http://www.jianshu.com/p/98c08956183d https://github.com/bl4de/ctf/blob/master/2017/nullcon_HackIM_2017/Web1.md看到一个CTF题中有一个与X-Forwarded-For有关的。 通过在HTTP头中设置X-Forwarded-For: 127.0.0.1在正常的TCP 通信中,是
伪造 X-Forwarded-For
zpf_07的博客
09-19 1496
简单粗暴上代码!import random import requestsip_address = ['125.92.32.81', '125.92.32.82', '125.92.32.83']headers = {"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8", "Acc
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
【网安随笔】隐写 Burpsuit伪IP & Trid分析工具 & Wireshark抓包
Keylion ,Your Hero
09-17 7943
一、关于Burpsuite          很强大的网安工具 堪称神器         今天笔记  Burpsuit修改referer段数据  和伪装IP         前期工作,使用代理IP,我使用的是火狐浏览器。如图显示,代理IP为127.0.0.1 8080端口             (1) 修改referer,referer是HTTP来源地址,很多 网站通过Re...
WEB安全基础-合集篇
10-23
WEB安全基础-合集篇,涵盖...读者通过学习这些知识可以了解常见的WEB安全漏洞、攻击方式以及防御方法,提高自己在网络安全方面的认识和技能。希望读者可以认真阅读这篇合集,学习其中的知识,并将其应用到实际操作中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值