Web安全
文章平均质量分 51
iihacker_cat
这个作者很懒,什么都没留下…
展开
-
使用surpsuite进行爆破
Surp可以对抓到的http包的参数进行配置,从而进行用户名和密码进行爆破。1 假如我们知道有admin这个用户2 开启burp抓包,并登录上面的web,这里用户名密码设置为1111 2222,抓到的包如下3 把包的内容拷贝到Intruder中4 使用Intruder修改http包中的参原创 2017-09-16 17:47:05 · 880 阅读 · 0 评论 -
firefox 搭配burpsuite
BurpSuite 抓包的工作原理就是把作为一个代理,所以如果浏览器配置了代理,让网络走Burpsuite建立的网络,这样Burpsuite就可以抓到所有的包了。1 设置firefox代理选项--高级--网络--连接--设置默认的不使用代理包括localhost和127.0.0.1需要把他们去掉不然本地的包就抓不到了。8080原创 2017-09-16 17:07:29 · 6637 阅读 · 2 评论 -
burpsuite 安装和使用
burpsuite 安装第一步:下载安装JDK 我安装的版本是jdk1.8.0_131,可以自行百度。第二步:配置JAVA环境1. 桌面-计算机-属性-高级系统设置-环境变量-系统变量 添加:JAVA_HOME C:\Program Files\Java\jdk1.8.0_131编辑:Path ,在最前面新增C:\Program Fi原创 2017-09-16 16:50:13 · 10128 阅读 · 1 评论 -
使用python对登录密码爆破
运行后的结果:send the request to get the init user token,respons state code = 200response page size= 4979we will use bruteforce way to get the correct password by using dictionary payload原创 2017-09-17 11:41:23 · 3018 阅读 · 0 评论 -
web安全的关键点
数据和指令混杂在一个页面是导致WEB不安全等重要因素,数据会被指令污染。1 Sql 注入的例子:用户通过访问连接http://www.foo.com/user.php?id=1 来获取自身账户的信息,后台可能会执行select username , email , desc from users where id=1; 然后把返回的结果通过HTTP返回给客户端。其中id的值来自原创 2017-09-02 14:11:00 · 333 阅读 · 0 评论 -
web安全方向
安全关注点转移,从最开始的服务器安全,如缓冲区溢出,CGI解析缺陷,纯web层面的sql注入的,到客户端安全如XSS跨站脚本,CSRFf跨站请求伪造等。前端安全主要有三类,xss,csrf,界面操作劫持,从xss到csrf再到界面操作劫持,越往后社会工程学,成分越浓厚.原创 2017-09-02 10:24:55 · 1056 阅读 · 0 评论 -
利用BurpSuite修改Response值的两种方法
1、开启代理拦截,直接修改Response值,如下图2、使用自动代理转发,如下图转载 2018-05-09 20:44:27 · 28239 阅读 · 2 评论 -
关于Burp Suite Intruder 的四种攻击方式
以下面这一段参数为例,被§§包围的部分为需要破解的部分:user=§ss§&password=§zxcv§&imageField.x=17&imageField.y=1 (1) (2)---------------------------------------------------------- payload1 = [admin,...原创 2018-05-12 13:46:20 · 4121 阅读 · 0 评论