本文介绍了Web安全的基础知识,通过搭建Django网站作为示例,探讨了HTTP协议与安全溯源。重点讲解了Burp Suite工具的使用,包括Proxy、Intruder、Repeater等功能,以及如何配置代理和进行安全测试。同时提到了curl工具的用途,以及Wappalyzer和Postman在分析网站技术和进行API测试中的作用。这些工具和概念对于理解Web安全和渗透测试至关重要。
客户端工具
-
Brupsuite
-
Proxy - 拦截HTTP/HTTPS的代理服务器,作为一个浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流
-
Intruder - 定制的高度可配置工具,对web应用程序进行自动化攻击 如枚举标识符,收集有用数据,以及使用fuzzing技术探测常规漏洞
-
Repeater - 靠手动操作来补发单独堆Http请求,并分析应用程序响应的工具
-
Sequencer - 分析不可预知的应用程序会话令牌和重要数据项的随机性工具
-
Decoder - 手动执行或对应用程序数据者智能编码解码
-
Comparer - 实用的工具,通过一些相关的请求和响应得到两项数据的一个可视化的差异
-
下载地址 https://portswigger.net/burp
-
监听代理端口配置
关闭拦截
firefox浏览器配置代理
用之前配置的django网站测试
Brupsuite拦截到请求
Repeater Sequencer Intruder 可以自行去尝试下
-
Curl
-
一个功能强大灵活的网络工具,使用url的形式传输数据,支持HTTPS, IMAP POP3 RTSP SCP FTP FTPS TFTP SMTP SMB Telnet等协议
-
多用于抓取网页 网络监控等方面 解决开发及调试中遇到的问题
-
curl ifconfig.co 查看本机公网ip curl -v ifconfig.co 回显过程 -v
-
windows需要单独下载,mac默认已集成,通过man curl查看手册
-
-
Wappalyzer
-
Postman
-
Hackbar
浏览器插件
Hackbar
firefox 浏览器插件 包含一些常用的工具 (SQL injection, XSS, 加密等)可以利用它快速构建一个HTTP请求,或者用它快速实现某种算法等,多用于手工测试Web漏洞
firefox添加插件 hackbar quantum插件
Wappalyzer
Wappalyzer插件是一款功能强大的并且非常使用的网站技术分析插件
通过这个插件的功能,我们就可以了解到目标网站所采用的平台架构 网站环境 服务器配置环境 Javascript框架 以及变成语言等等
通过 Wappalyzer了解到 网站使用的是 Django框架,变成语言使用的是 Python
这就为后续的渗透测试提供给了进一步的信息
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
