新手第一次使用burpsuite正确姿势

最近我们课程,有个老师需要我帮忙搭建做一个越权攻击的实验。就随手倒腾起burpsuite;最近时间逐渐也比较多了,发现web安全工程师基础入门课程,讲师在第七课对于burpsuite的细节并没有掌握的很好,在浏览器代理操作过程,一直卡在无法顺利抓捕数据包,有点尴尬。

同时我也好久好久不做安全有关的事情,忙于客服、图片设计、美工ui、编辑、销售、运营、项目管理、项目开发层面上,对于课程审查就快速跳过查审,时间实在不够用,没有第一时间给讲师反馈建议很抱歉,对不起。

工具安装与破教程

基于第一次burpsuite的新手,有可能会遇到的问题,我这里统一提前给大家解答下;方便新手去学习digo8的进阶web安全工程师的课程。

你有可能会遇到的问题,设置配置完代理后,burpsuite一直获取不到数据包,即使获取到了,浏览器器也一直在转,感觉很不爽,其实你看到Raw里面有数据,那就说明burpsuite运行成功了。

如果这个问题的话,归根与在Proxy>Optins项没设置好

在安装好java环境,已经运行burpsuite情况下,我把问题进行还原。

1、打开burpsuite设置好代理,并勾选相关项

2、浏览器配置好代理

3、burpsuite开始运作,但浏览器一直没显示网页出来,你会感觉是不是抓不了正确的包了,在控制面板抬头是抓到了,但网页内容却没有,一直显示不出来。这样感觉会很不爽。但是同样对其进行repeater也是可以抓到。那就说明没问题。

对repeater的请求与报文效检

4、正确姿势回到Proxy>Optins项进行设置

勾选这些功能大概意思

这些设置控制哪些请求和响应被暂停以便在截取选项卡中查看和编辑。分别设置应用于请求和响应。

“截取”复选框决定是否截获任何消息。如果它被选中,然后打嗝应用配置的规则的每一条消息以确定它是否应该被截获。

可以使用每个规则左侧的复选框激活或禁用单个规则。规则可以添加,编辑,删除,或重新使用的按钮。

规则可以在几乎所有的消息属性上进行配置,包括域名、IP地址、协议、HTTP方法、URL、文件扩展名、参数、cookie、头/正文内容、状态代码、MIME类型、HTML页面标题和代理侦听器端口。您可以配置规则,只拦截目标范围内的URL项。正则表达式可用于为每个属性定义复杂的匹配条件。

5、成功,就会看到浏览器打不开目标网页了!

6、在repeater验证抓包是否真正成功。

7、已经可以显示正确的网页信息response相应请求返回了html网页源码

技术是我们的生计来源,为了活下去,得提升我们的技术,请您留言喜欢的文章或前往技术文章支持51Testing软件测试网(http://www.51testing.com),学习更多IT技术~

原文地址:https://www.cnblogs.com/testor/p/8487946.html

时间: 2024-10-10 05:05:04

新手第一次使用burpsuite正确姿势的相关文章

Android PermissionUtils:运行时权限工具类及申请权限的正确姿势

Android PermissionUtils:运行时权限工具类及申请权限的正确姿势 ifadai 关注 2017.06.16 16:22* 字数 318 阅读 3637评论 1喜欢 6 PermissionUtil 经常写Android运行时权限申请代码,每次都是复制过来之后,改一下权限字符串就用,把代码搞得乱糟糟的,于是便有了封装工具类的想法,话不多说,先看怎么用: 工具类及Demo:github 简洁版申请权限 申请一个权限: PermissionUtils.checkAndRequest

开发函数计算的正确姿势 —— 使用 Fun Local 本地运行与调试

前言首先介绍下在本文出现的几个比较重要的概念: 函数计算(Function Compute): 函数计算是一个事件驱动的服务,通过函数计算,用户无需管理服务器等运行情况,只需编写代码并上传.函数计算准备计算资源,并以弹性伸缩的方式运行用户代码,而用户只需根据实际代码运行所消耗的资源进行付费.函数计算更多信息 参考. Fun: Fun 是一个用于支持 Serverless 应用部署的工具,能帮助您便捷地管理函数计算.API 网关.日志服务等资源.它通过一个资源配置文件(template.yml),

开发函数计算的正确姿势——轻松解决大依赖部署

<a name="1"></a> 前言 首先介绍下在本文出现的几个比较重要的概念: 函数计算(Function Compute): 函数计算是一个事件驱动的服务,通过函数计算,用户无需管理服务器等运行情况,只需编写代码并上传.函数计算准备计算资源,并以弹性伸缩的方式运行用户代码,而用户只需根据实际代码运行所消耗的资源进行付费.函数计算更多信息 参考.Fun: Fun 是一个用于支持 Serverless 应用部署的工具,能帮助您便捷地管理函数计算.API 网关.

程序员取悦女朋友的正确姿势---Tips(iOS美容篇)

前言 女孩子都喜欢用美图工具进行图片美容,近来无事时,特意为某人写了个自定义图片滤镜生成器,安装到手机即可完成自定义滤镜渲染照片.app独一无二,虽简亦繁. JH定律:魔镜:最漂亮的女人是你老婆魔镜:程序员不是木头人 核心技术 图片滤镜核心技术的基本思路如下: 核心技术流程 具体流程 1.创建一个图像处理工具类 注:该类实例包括一个图像处理方法,该方法在传入原始图像和一个颜色矩阵后生成一个处理好的图像. @interface JHFeilterManager : NSObject @proper

docker centos rpm离线安装1.8.2及pull的正确姿势

1.离线安装 本次只针对1.8.2版本,所需要的rpm包如下 docker-engine-1.8.2-1.el7.centos.x86_64.rpm(已上传51cto) libcgroup-0.41-8.el7.x86_64.rpm libcgroup-devel-0.41-8.el7.x86_64.rpm libcgroup-pam-0.41-8.el7.x86_64.rpm libcgroup-tools-0.41-8.el7.x86_64.rpm(libcgroup请参考开源镜像库) 简单

观看学习视频的正确姿势与姿态

开学至今,时时被二柱子逼得走投无路. 痛定思过,目前的自己确实是"三拍",一拍觉得这样那样一定可以胸有成竹,二拍有了点子拿起手术刀就开始实践,三拍无法实现代码拍屁股放弃.啊,我为了二柱子建了好多好多包,想过好多好多条"去北京的路",结果...还是死于基础太烂.也不愿意头悬梁锥刺股.所以呢,那就改进学习方式呗,提高效率. 整个开发过程中,自己犯了一个很大的错误.即是在第五周中途才突然发现,其实代码在整个学习过程中虽说是基础但不是没有它就建不成大楼.而我,白白的把4周的

Node.js中使用redis数据库的正确姿势

Redis是一个常用的Nosql数据库,一般用来代替Memcached做缓存服务,同时它也支持数据的持久化,有着比较广泛的应用场景.在Java中使用redis我们已经比较熟悉了,那么在node.js和koa.js框架中使用Redis的正确姿势是怎样的呢? Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库. Redis 与其他 key - value 缓存产品有以下三个特点: * Redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载

重磅消息!河南省考正确姿势:安心过双节!(推迟后18届毕业生有福!)

重磅消息!河南省考正确姿势:安心过双节!(推迟后18届毕业生有福!) 小可爱们,说想我了没? 肯定想了是吧哈哈 自恋一分钟! 河南省考推迟消息已确定 正确姿势:安心过双节! 各位小伙伴可以愉快的过双节啦! 开心吧! 不信请看:这次小编不骗你啦! 证据

在Linux(ubuntu server)上面安装NodeJS的正确姿势

上一篇文章,我介绍了 在Windows中安装NodeJS的正确姿势,这一篇,我们继续来看一下在Linux上面安装和配置NodeJS. 为了保持一致,这里也列举三个方法 第一个方法:通过官网下载安装 https://nodejs.org/en/download/ 这种方式的问题是我们需要自己去找网页,找到链接,然后下载 第二个方法:使用apt工具进行安装 默认情况下,在apt的源中只有比较老的版本(注意,需要先apt-get update) 例如,如果运行apt-get install nodej