Videoburpsuite打不开网页开

来源:蜘蛛抓取(WebSpider) 时间:2018-08-25 04:41 标签: burpsuite打不开网页

Burp不仅仅能在Web应用的测试中使用。我也在移动端和传统客户端测试时经常使用。对于采用HTTP方法发送数据的应用,Burp是你的最佳选择。

我要写下一系列在我工作中给我帮助的那些Burp的提示和技巧。写出来为了与大家分享,也为了留着备忘。

如果应用在同一端口连接不同的节点(例如,我们想代理流量通过80端口或者443端口),我们就不能重定向流量了吗?我们需要在Options > Connections > Hostname Resolution中设置,在下一个部分我将会解释。

如果我使用Burp将流量导入另一个代理工具,比如Fiddler或Charles,这也是有用的。

当我想要在Burp和应用之间把TLS剥离出来,或者我想把它加进去的时候Force use of SSL这个选项就有用了。有一个我时常参考的。

剩下的数据包将不会包含在Scope中,你必须手动添加。

另一种方法是复制URL粘贴过来。如果我们右键点击任何位置的任何请求,我们都能通过点击右键菜单中的Copy URL来复制这个请求的URL地址。我们可以在Scope中点击Paste URL来把这个请求置入Scope。这个按钮在其他位置出现也具有类似的功能。

我们通常不止是需要一个请求。通常是整个节点,或者确定的整个目录。幸运的是,在指定Scope时,我们可以使用正则表达式。我通常使用上述方法之一将URL添加进Scope中,然后通过编辑按钮来对其修改。

Scope中有四个选项:

    现在,我们可以重定向Appscan的流量到Burp了,也可以进行一些手动探索了。试用版软件可以让我们这样做,但是不要把它添加进扫描中。如果我们有Appscan的授权版本,我们可以运行一个扫描。在Burp中可以看得到扫描的流量经过。

    你可以安装导入Appscan的根证书了。

    有时候,你需要使用两个或两个以上的代理来组成代理链。我现在将要给你介绍最流行的HTTP代理。

    我们先下载并安装一个免费试用的,在截稿时,版本是3.11.4。出于演示目的,我会使用IE和普通的Google主页。事实上流量可以来自我们关心的任何位置,只要代理成功,其余东西都是相同的。

    试用版本会每隔三十分钟重新启动,就会再次开启自动代理。确保每次启动后你都要禁用它。你也可以使用Firefox来代替IE代理设置。

    现在可以在IE中打开Google的主页了,可以看到流量经过了Burp和Charles。

    我们只需要将IE的代理设置改为Charles,即127.0.0.1:8888。幸运的是就算Charles每隔三十分钟重启,但是它不会重置设置。

    设置完成,可以打开主页了。

    Fiddler的好处在于其可以添加脚本,我们使用的是4.6.2.2这个版本。

    现在设置完成,可以访问首页了。

    首先要禁用Fiddler的自动代理,并且把Gateway中的所选项删除。如果使用IE代理设置,记得选择No Proxy,否则又会回到Burp。之后我们设置Burp是IE的代理,Fiddler是Burp的上游代理。

    这个部分我已讲过,请。

    作者的案例要写在第五部分,不知道会连载几期

  最近我们课程,有个老师需要我帮忙搭建做一个越权攻击的实验。就随手倒腾起burpsuite;最近时间逐渐也比较多了,发现

安全工程师基础入门课程,讲师在第七课对于burpsuite的细节并没有掌握的很好,在

代理操作过程,一直卡在无法顺利抓捕数据包,有点尴尬。

  同时我也好久好久不做安全有关的事情,忙于客服、图片设计、美工ui、编辑、销售、运营、

、项目开发层面上,对于课程审查就快速跳过查审,时间实在不够用,没有第一时间给讲师反馈建议很抱歉,对不起。

  基于第一次burpsuite的新手,有可能会遇到的问题,我这里统一提前给大家解答下;方便新手去学习digo8的进阶web安全工程师的课程。

  你有可能会遇到的问题,设置配置完代理后,burpsuite一直获取不到数据包,即使获取到了,浏览器器也一直在转,感觉很不爽,其实你看到Raw里面有数据,那就说明burpsuite运行成功了。

  如果这个问题的话,归根与在Proxy>Optins项没设置好

在安装好环境,已经运行burpsuite情况下,我把问题进行还原。

  1、打开burpsuite设置好代理,并勾选相关项

  2、浏览器配置好代理

  3、burpsuite开始运作,但浏览器一直没显示网页出来,你会感觉是不是抓不了正确的包了,在控制面板抬头是抓到了,但网页内容却没有,一直显示不出来。这样感觉会很不爽。但是同样对其进行repeater也是可以抓到。那就说明没问题。

  对repeater的请求与报文效检

  勾选这些功能大概意思

  这些设置控制哪些请求和响应被暂停以便在截取选项卡中查看和编辑。分别设置应用于请求和响应。

  “截取”复选框决定是否截获任何消息。如果它被选中,然后打嗝应用配置的规则的每一条消息以确定它是否应该被截获。

  可以使用每个规则左侧的复选框激活或禁用单个规则。规则可以添加,编辑,删除,或重新使用的按钮。

  规则可以在几乎所有的消息属性上进行配置,包括域名、IP地址、协议、HTTP方法、URL、文件扩展名、参数、cookie、头/正文内容、状态代码、MIME类型、HTML页面标题和代理侦听器端口。您可以配置规则,只拦截目标范围内的URL项。正则表达式可用于为每个属性定义复杂的匹配条件。

  5、成功,就会看到浏览器打不开目标网页了!

  6、在repeater验证抓包是否真正成功。

  7、已经可以显示正确的网页信息response相应请求返回了html网页源码

上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-7),我们将立即处理。


: Burpsuite是全球知名的Web攻击集成平台,平台包括:Web代理、网络爬虫、扫描器、自动化攻击、解码器、中继器等功能,并且支持编写自定义工具来扩展Burp Suit的功能。文章对Burpsuite工具的工作方法进行了深入研究,挖掘Burpsuite工具的最新的使用方法和功能。从Web安全测试的角度,以流行的Struts安全漏洞为例,充分发挥Burpsu...  

我要回帖

更多关于 burpsuite打不开网页 的文章

 

随机推荐