这次username和password都进行了输入校验 但是ip和uagent没有校验 当我们用admin admin登陆成功后,就会一条插入语句 由于程序无条件的信任了浏览器的header信息,那么通过修改http包的header信息构造注入 使用burpsuite进行包拦截/修改 修改user- ...
分类:
数据库 时间:
2018-01-26 00:24:29
阅读次数:
341
第一步:右键项目点击export: 2、选择Runable JAR file: 点击Finish后会爆出一个错误(Jar export finished with problems. See details for additional information. Could not find mai ...
分类:
系统相关 时间:
2018-01-17 18:26:11
阅读次数:
256
BurpSuite intruder attack-type 4种爆破模式 Sniper 单参数爆破,多参数时同一个字典按顺序替换各参数,总之初始值有一个参数不变 Battering ram 多参数同时爆破,但用的是同一个字典 Pichfork 多参数同时爆破,但用的是不同的字典 Cluster b ...
分类:
其他好文 时间:
2018-01-16 18:21:09
阅读次数:
188
(1)Xmanager:Xshel、Xftp;secureCRT;FileZilla;winSCP (2)PLSQL、Navicat (3)eDairy (4)everything (5)FileZilla Server Interfase (6)Burpsuite;WebScareb;appSca ...
分类:
其他好文 时间:
2017-12-15 23:38:14
阅读次数:
249
一、BurpSuite工具介绍 BurpSuite是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。BurpSuite能高效率地与单 ...
分类:
其他好文 时间:
2017-11-28 13:28:22
阅读次数:
198
1.什么是重放攻击? 顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。 附上详细的解释:http://blog.csdn.net/kiritow/article/details/51811844(参考例子) 2.安装burpsuit ...
分类:
其他好文 时间:
2017-11-13 21:22:37
阅读次数:
2055
1.安装好burpsuite后打开程序,切换至proxy->intercipt,因为是重放攻击不用拦截数据包所以关闭intercept选项2.配置IE浏览器。打开internet选项->连接->局域网设置配置代理服务器:勾选为LAN使用代理服务器地址填写:127.0.0.1端口填写:8080配置好点... ...
分类:
其他好文 时间:
2017-11-04 23:43:32
阅读次数:
551
启动kali 首先配置火狐浏览器 打开设置 network 设置代理 127.0.0.1 端口8888 在终端中输入》》》burpsuite, 打开burp》》》proxy》》》options》》》 然后就可以抓包了 ...
分类:
其他好文 时间:
2017-10-30 19:51:10
阅读次数:
191
第一次手写性能测试脚本,过程比较虐:1、辅助工具:抓包工具burpsuite,观察请求及响应数据2、了解Loadrunner中的一个模拟请求的函数:可以模拟get和post web_submit_data("IsAttenderMobileOrEmailExist", "Action=O网页链接", ...
分类:
其他好文 时间:
2017-10-30 19:42:13
阅读次数:
1454
工具:正常的浏览器(Chrome),BurpSuiteFree 打开浏览器设置,然后如图 之后打开BurpSuite 打开监听,之后自动抓包,抓到的包(包括本地发出的包和服务器发回的包)会显示在下面的窗口中,可以随意更改,Forward表示继续,Drop表示丢掉这个包。 ...
分类:
其他好文 时间:
2017-10-20 11:56:56
阅读次数:
128
