如何使用 Burp Suite 和 burp-awesome-tls 绕过 TLS 指纹识别

最新推荐文章于 2025-09-09 16:12:40 发布
原创 最新推荐文章于 2025-09-09 16:12:40 发布 · 2.3k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

该文章已生成可运行项目,

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

原始参考国外文章

前言

提示:这里可以添加本文要记录的大概内容:

为什么TLS指纹识别对网络爬虫是威胁
TLS 指纹识别是一种根据客户端(浏览器或 HTTP 客户端)的 TLS 握手特征来唯一识别客户端的方法。在此过程中,**客户端会向服务器发送“客户端问候”消息,详细说明连接元数据,**例如支持的 TLS 版本、密码套件、扩展和其他参数。

反机器人系统(包括 Cloudflare、DataDome、Imperva Incapsula 和 Akamai)使用此指纹来区分自动流量和合法流量。

因此,TLS 指纹识别对网络爬虫来说是一个重大挑战,因为它们通常具有不匹配或过时的指纹,这可能会暴露自动化活动并触发阻止机制。例如,使用过时的 TLS 版本(例如 1.0 或 1.1)而不是现代版本(例如 1.2 或 1.3),偏离了现代浏览器的典型行为并引起怀疑。

提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是 burp-awesome-tls 以及它如何工作?

burp-awesome-tls是 Burp Suite 的一个 Java 扩展,可劫持 Burp Suite HTTP 和 TLS API,让您可以伪造真实浏览器的 TLS 指纹。它旨在帮助您在网页抓取等自动化活动中绕过反机器人措施。

然而,Akamai、Cloudflare、PerimeterX 等反机器人程序使用 TLS 指纹识别以外的检测技术。因此, burp-awesome-tls 扩展无法保证成功绕过反机器人程序。

也就是说,burp-awesome-tls 可以增加您抵御仅依靠 TLS 指纹识别和阻止机器人的较温和的反机器人措施的机会。此外,它还提供了有关如何通过 Burp Suite 等工具欺骗其他指纹的见解,以避免在抓取时被阻止。

二、使用步骤

从GitHub下载 burp-awesome-tls

1.导入burp-awesome-tls 扩展

激活 burp-awesome-tls 扩展的第一步是将其加载到 Burp Suite 中。

  1. 转到菜单栏上的扩展并单击添加。
  2. 在扩展详细信息下,将扩展类型设置为 Java。
  3. 单击选择文件按钮浏览您之前下载的 burp-awesome-tls .jar文件。
  4. 从下载位置选择扩展后,单击下一步并关闭模式框。

在这里插入图片描述
该扩展现在应该处于活动状态并带有复选标记。其名称 (Awesome TLS) 也将出现在菜单栏上,表明您已成功将扩展加载到 Burp Suite 中:
在这里插入图片描述
要停用 Awesome TLS 扩展,请取消选中激活复选框,然后在确认对话框中选择“是”。

您可以点击顶部的扩展名来配置其他参数,例如 TLS 握手超时、浏览器指纹选择、自定义客户端问候消息等。例如,如果您想使用 Firefox TLS 指纹,您可以在指纹选项下选择 Firefox 105。您的请求将仅使用所选浏览器的 TLS 指纹(而不是其用户代理)。

但是,我们将坚持使用 burp-awesome-tls 扩展的默认设置,该设置使用最新可用的浏览器指纹。因此,此时您不需要执行任何额外的操作:
在这里插入图片描述
接下来,您将使用 Burp 的浏览器功能测试该扩展。

2.测试扩展

测试网站:BrowserLeaks
我们首先通过 Burp 的内置浏览器向 BrowserLeaks 发送请求,观察激活扩展前后 TLS 行为的差异。

为此,请在扩展菜单中取消选中 burp-awesome-tls 以停用它。此操作将允许您以普通模式(不带扩展)运行 Burp Suite。

进入代理并单击打开浏览器以启动 Burp 浏览器。然后通过浏览器加载BrowserLeaks

结果特别显示,Burp 的默认请求(不带扩展)使用 TLS 版本 1.0 和 1.1。这些版本已经过时,可能会导致阻塞

在这里插入图片描述

但是,重新激活扩展并刷新浏览器会删除 TLS 1.0 和 1.1,这表明 burp-awesome-tls 扩展已成功欺骗现代 TLS 指纹。
在这里插入图片描述
重新激活 burp-awesome-tls 扩展并刷新网页后,Burp 浏览器可能会返回错误“400 Bad Request”。如果发生这种情况,请重新启动 Burp Suite 应用程序并重新启动浏览器以解决此问题。

本文章已经生成可运行项目
Burpsuite 指纹特征绕过_burp awesome tls
2401_89689848的博客
12-20 536
技术文档也是我自己整理的,包括我参加大型网安行动、CTF挖SRC漏洞的经验技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业接私活完全没有问题。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
Burpsuite 指纹特征绕过_burp awesome tls,2024年最新Golang进程保活黑科技实现原理解密及方法
2301_79057936的博客
04-17 721
技术文档也是我自己整理的,包括我参加大型网安行动、CTF挖SRC漏洞的经验技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
爬虫TLS指纹校验原理与绕过(Just a moment...)
最新发布
students33的博客
09-09 1530
本文介绍了TLS指纹校验的原理及绕过方法。TLS指纹通过分析TLS握手时的特征(如加密套件、协议版本等)识别设备类型,常见于反爬虫机制。文章详细解析了ja3指纹的组成,并提供了三种Python绕过方案:使用curl_cffi模拟浏览器指纹、requests-go自定义ja3指纹,以及修改requests的TLS配置(不推荐)。测试网站为例,展示了具体实现代码。这些方法可有效应对网站对TLS指纹的校验,解决爬虫被403拦截的问题。
【免费下载】 Burp Awesome TLS 项目使用教程
gitblog_00898的博客
04-10 545
`burp-awesome-tls` 项目的主要目录结构如下: ``` burp-awesome-tls/ ├── .github/ # GitHub 工作流配置文件 ├── docs/ # 项目文档 ├── gradle/ # Gradle 构建脚本配置 ├── src-go/ ...
BurpSuite_403Bypasser:Burpsuite扩展程序绕过403受限制的目录
03-11
第403章 一个burpsuite扩展名,用于绕过403受限制的目录。 通过使用PassiveScan(默认启用),此扩展名将自动扫描每个403请求,因此只需添加到burpsuite中即可。 有效负载:$ 1:HOSTNAME $ 2:PATH $1/$2 $1/./$2 $1/$2/. $1//$2// $1/./$2/./ $1/$2anything -H "X-Original-URL: /$2" $1/$2 -H "X-Custom-IP-Authorization: 127.0.0.1" $1 -H "X-Rewrite-URL: /$2" $1/$2 -H "Referer: /$2" $1/$2 -H "X-Originating-IP: 127.0.0.1" $1/$2 -H "X-Forwarded-For: 127.0.0.1" $1/$2 -H "X-Re
awesome-burp-extensions:精选的Burp扩展精选列表
04-28
很棒的打p扩展 精选的Burp扩展精选列表 贡献 。 如何使用 真棒burp扩展对于想要使用真棒插件为其Burp实例增添趣味的人来说是一个了不起的清单。 最好的使用方法是: 只需按Command + F即可搜索关键字 浏览我们的内容菜单。 内容 跨站请求伪造 反序列化 敏感数据暴露 SQL / NoSQL注入 XXE 不安全的文件上传 目录遍历 会话管理 命令注入 Web应用程序防火墙规避 记录注意事项 有效载荷发生器模糊器 密码学 工具整合 杂项 打p扩展培训资源 扫描仪 被动主动扫描插件。 主动扫描++ -ActiveScan ++扩展了Burp Suite的主动被动扫描功能。 Burp Vulners扫描程序-基于vulners.com搜索API的漏洞扫描程序。 其他扫描仪检查-Burp中缺少扫描仪检查的集合。 CSRF扫描仪-用于Burp Suite Pro
爬虫,TLS指纹 剖析绕过
Drizzlejj的博客
11-12 4076
当我们使用python 的 requests或urllib 包发送请求时,他们的指纹信息都是确定的、固定的,每个浏览器都有自己的指纹信息。服务端通过搜集不同的网络请求模块的指纹信息,建立一个黑名单,当有外来访问时,服务端检测便该指纹信息是否在自己的黑名单内,若是,便不允许其访问。当你欲爬取某网页的信息数据时,发现通过浏览器可正常访问,而通过代码请求失败,换了随机ua头IP等等都没什么用时,有可能识别了你的TLS指纹做了验证。通过修改请求模块的指纹信息或模拟正确的浏览器指纹信息即可绕过校验。
绕过TLS/akamai指纹护盾
weixin_43025534的博客
04-28 3555
TLS指纹是一种用于识别验证TLS(传输层安全)通信的技术。TLS指纹可以通过检查TLS握手过程中使用的密码套件、协议版本加密算法等信息来确定TLS通信的特征。由于每个TLS实现使用的密码套件、协议版本加密算法不同,因此可以通过比较TLS指纹来判断通信是否来自预期的源或目标。TLS指纹可以用于检测网络欺骗、中间人攻击、间谍活动等安全威胁,也可以用于识别管理设备应用程序。
TLS指纹校验原理绕过
weixin_52001594的博客
01-29 4202
浏览器可以正常访问,但是用requests发送请求失败。后端是如何监测得呢?为什么浏览器可以返回结果,而requests模块不行呢?
2024年Go最新Burpsuite 指纹特征绕过_burp awesome tls,讲的太清楚了
2401_84910951的博客
05-14 1056
技术文档也是我自己整理的,包括我参加大型网安行动、CTF挖SRC漏洞的经验技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业接私活完全没有问题。需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。
HTTPS协议中的TLS指纹检测与绕过方法详解
weixin_65409651的博客
07-30 1112
TLSJA3指纹检测是识别非正常用户的有效手段,但我们可以通过修改ClientHello握手包内容来绕过这些检测。不同服务端的检测强度不同,找到一个有效的解决方案可能需要不断尝试测试。
深入解析HTTPS协议中的TLS指纹检测与绕过方法
weixin_65409651的博客
07-31 1596
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的通信协议,用于在计算机网络中进行安全的数据传输。HTTPS在HTTP协议的基础上加入了SSL/TLS协议,通过加密验证来保护数据的传输。它广泛应用于各种需要数据保密性的场景,如在线支付、电子邮件、社交网络等。TLS(Transport Layer Security)SSL(Secure Sockets Layer)是两种用于在网络上提供安全通信的协议。
某某网站 JS 逆向及 tls 指纹绕过分析
静觅
11-13 2561
这是「进击的Coder」的第 749篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 12 分钟。 ” 特别声明:本公众号文章只用于学术研究,不作为其它不法用途;如有侵权请联系作者删除。目录一、前言介绍二、参数分析三、断点调试四、算法分析五、指纹绕过六、学习展望趣味模块 Robbers 是一名 spider 工程师,最近 Robbers遇到了一...
网页返回title“Just a moment...“,python 绕过tls指纹的几种方式 记录一下
weixin_44532999的博客
03-28 4050
第一种: 使用 tls_client 第三方库进行绕过
TLS指纹模拟
weixin_39251927的博客
11-16 3194
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性数据完整性。在渗透攻防中也常常利用来进行隐蔽隧道通信,从而也衍生出了tls的检测与对抗,本文就围绕tls的检测绕过来展开。
Cloudflare 5秒盾高级绕过技术深度剖析:TLS指纹伪造与JavaScript挑战破解实战
qq_33253945的博客
08-21 946
深入分析Cloudflare 5秒盾防护机制的工作原理,探讨TLS指纹识别与伪造、JavaScript挑战破解、浏览器环境完美模拟等高级绕过技术。通过详细的技术实现代码示例,全面掌握现代WAF防护的深层机制与对抗技术。
黑客入门指南,小白如何成长为一名黑客之基本功
bigbangbangbang1的博客
04-10 221
首先我们需要弄清楚什么是黑客,黑客是对技术人员的一种肯定,是个褒义词,体现了他们高超的技术超越极限的能力。黑客精神并不是仅仅局限在软件与互联网这个行业中。在其他领域拥有较高成就作出杰出贡献的人都可以称为黑客。大家常说的黑客,在真正的黑客眼中应该叫做骇客。他们利用技术手段来攻击别人,获取信息,满足自己的精神需求或物质需求。
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5301
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值