burpsuit学习---前端绕过

最新推荐文章于 2024-01-11 11:40:27 发布
最新推荐文章于 2024-01-11 11:40:27 发布
阅读量741 收藏
点赞数
分类专栏: kali学习 文章标签: burpsuit kali linux 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wr456wr/article/details/121706823
版权

文章目录

使用burpsuit进行前端绕过

环境

Kali2021上自带的burpsuit软件。

浏览器为火狐浏览器

进行实验的前端地址:https://rimovni.exeye.run/mecimlif/home

实验部分

在浏览器内访问该网站

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YYWc3fWT-1638535731697)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1638534900830.png)]

点击信息修改

在浏览器内打开代理

在这里插入图片描述

此时打开burpsuit,点击proxy,开启拦截
在这里插入图片描述

此时在浏览器上填写信息并提交
在这里插入图片描述

此时在burpsuit上拦截到刚刚提交的数据包
在这里插入图片描述

修改其中的数据,将邮箱的内容改为

<img src=x οnerrοr=alert(‘我已经过来了’)>

在这里插入图片描述

之后点击右上角的forword放行,让数据提交

之后点击浏览器可以看到弹窗
在这里插入图片描述

wr456wr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdk-17 ,BurpSuite 新版本环境及报错
04-25
jdk-17 ,BurpSuite 新版本环境及报错
2021-7-burpsuit
03-27
安全工具及资料
burpsuit 2017-12-3过期
12-05
burpsuit
burpsuit-extended with burphelper by larry-lau
01-31
burpsuitv1.7.30, extended by larry-lau, with burphelper, 过期时间为2018年12月31日。
前端绕过无限Debug
最新发布
qq_40495860的博客
01-11 680
前端绕过无限debug
【文件上传漏洞-02】前端限制与绕过靶场实战
cc
02-14 5345
由于JS限制,它的运行环境是我们本地浏览器,只要能看得懂JS代码,就可以进行修改JS代码甚至是删除表单事件来做绕过。由于JS限制,它的运行环境是我们本地浏览器,只要能看得懂JS代码,就可以进行修改JS代码甚至是删除表单事件来做绕过
绕过前端验证
qq_22192367的博客
03-16 9470
这是一个注册页面,随便输入一个的昵称,可以看到如下图所示的界面,burpsuit没有任何的ajax请求,直接弹出了不正确所以这个验证肯定是前端方面的验证,先构造一个符合标准的数据进行提交看看他的POST包长什么样可以看到所有的数据都进行了加密,一开始我以为是都进行了md5加密,然后去md5加密网站把密码加密对比了一下,发现并不是md5,而是一种前端的验证。感觉游戏,因为前端验证严格的后段可能就忽略...
1-2 【实验】02-前台JS验证审计+绕过
山兔的博客
03-06 1479
上传漏洞绕过,本质上跟我们上一篇讲的SQL注入绕过,没有本质区别,SQL注入绕过绕过后台对一些特殊函数、特殊字符的过滤,那么上传漏洞其实也一样,绕过后台对上传文件名称以及内容的一些过滤,所以说,这两者漏洞之间,我们抓包的话,会发现,这两个包里面的内容,其实差不多,要么get请求,要么post请求,那么对应我们上传漏洞,其实 post请求内容,分别对应请求头,请求体,所以说,我们上传漏洞和注入漏洞,抓包之后,它http请求,没有太大区别,我们之前讲的,web漏洞,都是发生在http请求里面,是不谋而合的 我
【web安全】——文件上传的绕过方式
热门推荐
Demo不是emo的博客
01-16 1万+
文件上传绕过姿势汇总,持续更新中
JS前端绕过
看着博客敲代码
06-26 2922
web应用对用户上传的文件进行了校验,该校验是通过前端JavaScript代码完成。恶意用户对前端JavaScript进行修改或通过抓包软件篡改上传文件的格式,就能绕过基于JS的前端校验。
上传漏洞--前端绕过
aipei5098的博客
07-07 246
首先,这篇文章是来自独自等待大牛的博客,这是文章原文: http://www.waitalone.cn/js-file-upload-vulnerability-validation-script.html 我只不过把代码改的简单了一些! 首先是上传页面 <title>图片上传</title> <script type="text/j...
结合Burp Suite绕过前端验证机制原理总结
12november的博客
07-03 1348
该实验在Burp Suite配置完成的前提下进行
两次前端绕过渗透小结
weixin_34074740的博客
01-05 363
一直想发一些渗透过程的东西和大家分享,可是渗透成功呢要过很久才能发布,然后就忘记了,最近遇到了两次和前端JS对抗的渗透过程。虽然最终没有成功,不过蛮有意思的,和大家分享一下。 ONE 先上URL地址http://www.XXXXXX.com/fastreg.html?to=w2i&amp;css=www.wanmei.com/public/style/fastreg/skin1.css&amp;w...
xss绕过方法(前端绕过,拼凑绕过,注释干扰绕过,编码绕过
qq_43814486的博客
05-05 8069
绕过思路 前端绕过前端有很多种方法绕过,比如抓包重放或者修改前端代码。 大小写绕过:一般后台对输入写进行过滤使用两种方法:1,使用正则匹配,2,用查找的函数查找。这两种方法可以用大小写混合的方式进行绕过,而后端是不管大小写的,可以正常执行我们的语句。 拼凑:后端会对我们输入的标签进行替换,但只替换一次,所以可以这样: <scri<script>pt>alert("hell...
关于JS弹出窗口;躲避拦截窗口功能.
BainStudio的专栏
07-02 2266
// 把下面的代码保存下来.里面提供了Window.Open所用到的参数// system.window.js// 具体功能看相应的注释 /** 调用:Object.Window* 作用:Window 引用类* 参数:*  Method   窗口打开方式*  Href   窗口地址*  Name   窗口标签*  ToolBar   显示工具条 yes/no*  MenuBar   显示菜单栏 y
简单的文件上传漏洞以及前端后端的简单绕过思路
太阳照耀我走四方
02-14 1061
简单的文件上传漏洞以及前端后端的简单绕过思路
前端验证码绕过 靶场实战
weixin_54771278的博客
06-08 1277
实验介绍 1. 验证码前端可获取 (1)验证码隐藏在源码之中 验证这种情况很简单,我们只需要记住验证码,然后右键打开网站源代码,CtrI+F搜索,输入刚才的验证码,如果可以成功匹配到 (2)验证码隐藏在Cookie中 一般来说,我们会把验证码的值用Session存储起来,通过对比用户提交的验证码和Session中的验证码,就可以知道输入是否正确。由于Session会占用服务器资源,有的开发人员会把验证码的值加密后存储在Cookie中。 (3)仅在客户端生成验证码 有的网站验证码由本地js生成仅仅..
关于前端加密登陆绕过的渗透思路
Adminxe的博客
08-22 1911
0x00 前端加密 好就不发博客了,今天主要讲一下前端加密绕过前端加密,判断加密类型,根据加密类型,找到对应解密形式,同时如果存在简单前端校验时,比如js绕过,base64编码,这样的话就会简单很多,但对于AES加密时,我们就首先要熟悉AES的加密规则。 0x01 关于AES加密规则 https://www.cnblogs.com/starwolf/p/3365834.html 附上链接,AES五种加密模式(CBC、ECB、CTR、OCF、CFB)。 c++源码: /** *@param..
burpsuit安装
09-13
安装Burp Suite的步骤如下: 1. 首先,从官方网站下载Burp Suite的安装程序。 2. 下载完成后,将下载的jar包和破解程序BurpLoaderKeygen都放置在已经安装完成的Burp Suite文件夹下。 3. 如果在打开Burp Suite的官方...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值