最近我们课程,有个老师需要我帮忙搭建做一个越权攻击的实验。就随手倒腾起burpsuite;最近时间逐渐也比较多了,发现web安全工程师基础入门课程,讲师在第七课对于burpsuite的细节并没有掌握的很好,在浏览器代理操作过程,一直卡在无法顺利抓捕数据包,有点尴尬。
同时我也好久好久不做安全有关的事情,忙于客服、图片设计、美工ui、编辑、销售、运营、项目管理、项目开发层面上,对于课程审查就快速跳过查审,时间实在不够用,没有第一时间给讲师反馈建议很抱歉,对不起。
工具安装与破教程
基于第一次burpsuite的新手,有可能会遇到的问题,我这里统一提前给大家解答下;方便新手去学习digo8的进阶web安全工程师的课程。
你有可能会遇到的问题,设置配置完代理后,burpsuite一直获取不到数据包,即使获取到了,浏览器器也一直在转,感觉很不爽,其实你看到Raw里面有数据,那就说明burpsuite运行成功了。
如果这个问题的话,归根与在Proxy>Optins项没设置好
在安装好java环境,已经运行burpsuite情况下,我把问题进行还原。
1、打开burpsuite设置好代理,并勾选相关项
2、浏览器配置好代理
3、burpsuite开始运作,但浏览器一直没显示网页出来,你会感觉是不是抓不了正确的包了,在控制面板抬头是抓到了,但网页内容却没有,一直显示不出来。这样感觉会很不爽。但是同样对其进行repeater也是可以抓到。那就说明没问题。
对repeater的请求与报文效检
4、正确姿势回到Proxy>Optins项进行设置
勾选这些功能大概意思
这些设置控制哪些请求和响应被暂停以便在截取选项卡中查看和编辑。分别设置应用于请求和响应。
“截取”复选框决定是否截获任何消息。如果它被选中,然后打嗝应用配置的规则的每一条消息以确定它是否应该被截获。
可以使用每个规则左侧的复选框激活或禁用单个规则。规则可以添加,编辑,删除,或重新使用的按钮。
规则可以在几乎所有的消息属性上进行配置,包括域名、IP地址、协议、HTTP方法、URL、文件扩展名、参数、cookie、头/正文内容、状态代码、MIME类型、html页面标题和代理侦听器端口。您可以配置规则,只拦截目标范围内的URL项。正则表达式可用于为每个属性定义复杂的匹配条件。
5、成功,就会看到浏览器打不开目标网页了!
6、在repeater验证抓包是否真正成功。
7、已经可以显示正确的网页信息response相应请求返回了html网页源码
技术是我们的生计来源,为了活下去,得提升我们的技术,请您留言喜欢的文章或前往技术文章支持51Testing软件测试网(http://www.51testing.com),学习更多IT技术~