声明!
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)
目录
一、burp选择项目
temporary project (临时工程)
new project on disk(新建工程)
open existing project (打开一个工程 可以接着干 上次没弄完的)
oause Automated tasks(是否停止自动化工程)
二、decodor(加密解密编码)
可以把我们想要的文字编码混淆 做加密,可以base64
html ascll hex MD5 等等 在获取一个URL后,可对其中的编码进行解码分析,可以看出该段URL中是否含有隐藏其中的恶意脚本(例如XSS跨站脚本攻击)
现在burp上使用代理抓一个包将其中的password值发送到编码器
然后对编码进行解码 得到密码
三、logger模块(日志记录)
功能概述
Burp Logger 模块主要用于记录通过 Burp Suite 代理的网络流量。它能够详细地记录 HTTP 请求和响应的各种信息,包括请求方法(如GET、POST 等)、请求的 URL、请求头(如 User-Agent、Content -Type 等)、请求体内容、响应状态码(如 200、404 等)、响应头和响应体等。这些记录对于安全测试人员来说是非常宝贵的资源,能够帮助他们分析应用程序的行为、追踪潜在的安全漏洞以及重现测试过程。
四、Burp Comparer 模块
功能简介
Burp Comparer 模块是一个强大的工具,用于比较两个数据块之间的差异。这些数据块可以是 HTTP 请求、HTTP 响应、文件内容等。它可以精确地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容。这有助于安全测试人员快速识别出可能导致安全漏洞或应用程序功能变化的关键差异。
主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。使用中的场景可能是:
1.枚举用户名过程中,对比分析登陆成功和失败时服务器端反馈结果的区别。
2.使用 Intruder 进行攻击时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里
3.进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。
抓两个不同的包或者同个包进行修改后发到对比器中,可以通过对比器看到二者之间的区别
可以看到二者不同的部分会被标注出来
例如:可以尝试抓取一个有SQL注入的网页包,再抓一个待测试的网页包,将二者进行对比,看待测网页是否有SQL注入的漏洞
对其包长度,url,cookie进行比对,分析二者区别来对其可能存在的漏洞进行分析
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
