Kali Linux Web 渗透测试—

第二课 代理简介

文/玄魂

课程地址: http://edu.51cto.com/course/course_id-1887.html

目录

shellKali Linux Web 渗透测试—... 1

第二课代理简介... 1

课程目录... 2

Proxy基本原理... 2

正向代理(Forward Proxy)3

反向代理（reverse proxy）... 3

透明代理（transparente proxy）... 3

Kali linux中的代理工具... 4

Mitmproxy. 4

Burp Suite. 4

Owasp-zap. 5

Paros. 5

Proxystrike. 5

Vega. 6

Webscarab. 6

课程目录

     Proxy基本原理

     Kali linux中的代理工具

Proxy基本原理

正向代理(Forward Proxy)

l   访问本无法访问的服务器

l   Cache作用

l   客户端访问授权

l   隐藏访问者的行踪

反向代理（reverse proxy）

透明代理（transparente proxy）

Kali linux中的代理工具

Mitmproxy

l   a man-in-the-middle proxy

l   Intercept HTTP requests and responses and modify them on the fly.

l   Save complete HTTP conversations for later replay and analysis.

l   Replay the client-side of an HTTP conversations.

l   Replay HTTP responses of a previously recorded server.

l   Reverse proxy mode to forward traffic to a specified server.

l   Transparent proxy mode on OSX and Linux.

l   Make scripted changes to HTTP traffic using Python.

l   SSL certificates for interception are generated on the fly.

l   And much, much more.

Burp Suite

l   Burp Suite 是用于攻击web 应用程序的集成平台。

l   代理–Burp Suite带有一个代理,通过默认端口8080上运行，使用这个代理，我们可以截获并修改从客户端到web应用程序的数据包.

Owasp-zap

l   OWASP Zed Attack Proxy Project攻击代理（简称ZAP），是一款查找网页应用程序漏洞的综合类渗透测试工具。它包含了拦截代理、自动处理、被动处理、暴力破解、端口扫描以及蜘蛛搜索等功能。

l   OWASP ZAP为会话类调试工具，调试功能对网站不会发起大量请求，对服务器影响较小。

Paros

l   paros proxy，这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序(spider)，hash 计算器，还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。该工具检查漏洞形式包括：SQL注入、跨站点脚本攻击、目录遍历等。

Proxystrike

l   Plugin engine (Create your own plugins!)

l   Request interceptor

l   Request diffing

l   Request repeater

l   Automatic crawl process

l   Http request/response

l   history Request

l   parameter stats Request

l   parameter values stats

l   Request url parameter signing and header field signing

l   Use of an alternate proxy (tor for example ;D )

l   Sql attacks (plugin)

l   Server Side Includes (plugin)

l   Xss attacks (plugin)

l   Attack logs

l    Export results to HTML or XML

Vega

l   Vega是一个开放源代码的web应用程序安全测试平台，Vega能够帮助你验证SQL注入、跨站脚本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java编写，有GUI，可以在Linux、OS X和windows下运行。Vega类似于 Paros Proxy, Fiddler, Skipfish and ZAproxy。

Webscarab

l   WebScarab一款代理软件，包括HTTP代理，网络爬行、网络蜘蛛，会话ID分析，自动脚本接口，模糊测试工具， WEB格式的编码/解码，WEB服务描述语言和SOAP解析器等功能模块。WebScarab基于GNU协议，使用Java编写，是WebGoat中所使用的工具之一。

课程地址: http://edu.51cto.com/course/course_id-1887.html

ps：对此文章感兴趣的读者，可以加qq群：Hacking:303242737;Hacking-2群：147098303；Hacking-3群：31371755；hacking-4群:201891680;Hacking-5群：316885176

Kali Linux Web 渗透测试视频教程— 第二课 google hack 实战