201453331魏澍琛web安全基础实践 一.实验过程 1、webgoat开启 2、Injection Flaws练习 Command Injection 原网页中没有注入的地方,那就用burpsuite(设置的相关步骤别人的博客写的很详细,不累述了),分析第一个包看他的数据提交的位置,找到后进行 ...
分类:
Web程序 时间:
2017-05-14 23:39:29
阅读次数:
374
1.配置浏览器对https也使用代理 http和https两都是分开的,对http使用了代理并不代理对https也使用了代理,要配置浏览器让其对https也使用同样的代理。 2.将证书导入浏览器 配置https使用burpsuite代理后可拦截https包但一般页面不可报连接错误,不可访问。 首先将 ...
分类:
Web程序 时间:
2017-05-08 14:48:43
阅读次数:
334
很多新手在刚用burpsuite时,在设置好网页网络代理后,发现打不开网页,这其实是一个简单的问题,因为burpsuite是默认将拦截开的,也就是,在你设置好代理后,你打开网页,它已经默认将请求包拦截下来了。 那个intercept is on 表示拦截是开的,这时你若想正常打开网页则,按一下那个即 ...
分类:
Web程序 时间:
2017-04-29 18:43:45
阅读次数:
3072
我先说一下什么是cookies注入,如果你学过ASP,你应该知道Request.QueryString(get)或Requset.FORM)(POST)这就是我们读取用户发给WEB服务器的指定键的值!有时我们为了简化代码,会写成ID=Request("ID")这样写法是简单,但是问题就来了cookie注入利用的环境我们知道WEB服务..
分类:
其他好文 时间:
2017-04-23 13:21:48
阅读次数:
137
在网上找了一篇关于Burp Suite的使用介绍,感觉写的基础的,下面就copy了,另外还有一篇《BurpSuite实战指南》的pdf是一位好心的“前辈”共享的,感觉写的也很详细和基础只可惜没有找到网上下载的链接。 《Burp Suite使用介绍(一)(二)(三)》(信息量也很大);文章来源:htt ...
分类:
其他好文 时间:
2017-04-15 01:21:14
阅读次数:
236
通过post方法,修改PHP主配置文件,就可以执行命令行对服务器进行操作,php语言中passthru函数可以执行操作系统的指令<!--?php passthru('id'); die(); ?--><!--?php passthru('id'); die(); ?--> 打开burpsuite,在 ...
分类:
其他好文 时间:
2017-04-14 16:14:16
阅读次数:
295
send to repeater 手动提交,注入。 将post请求改成get请求 直接就可以看到页面 生成csrf POC代码 点击在浏览器中测试,copy 拿到浏览器里访问 或者拷贝出来 保存到文本中 双击,就能重定向到目标的网页了。 sequencer 分析程序中可预测的数据 session c ...
分类:
其他好文 时间:
2017-04-14 12:45:08
阅读次数:
157
1.如果还不知道如何配置代理地址,可以看同一个分类中的另一篇随笔。这里不再详细介绍。 2.导入证书打开端口,配置好浏览器代理(以firefox为例) 3.在地址栏输入http://burp,回车下载证书 4.注意这里的证书不能是零字节,不然去找破解版(因为这个原因,浪费了我一天的时间,才找到原因) ...
分类:
Web程序 时间:
2017-04-13 21:13:21
阅读次数:
273
安装证书: 打开burpsuite,设置好代理。端口8080,但是打开https的网站却因为证书问题无法访问。 这需要我们为浏览器手动安装CA证书, 安装CA证书有两种方式: 1、 在burpsuite中 记得选certificate in DER format就足够了,不要选Private,里面包 ...
分类:
其他好文 时间:
2017-04-13 10:18:14
阅读次数:
245
Kali中的默认浏览器无法直接使用burpsuite问题Kali中默认的浏览器是iceweasel浏览器,这种浏览器是foxfire内核的。而新版foxfire中对于代理则使用的是plug-n-hack协议,这款协议能够很好地将浏览器和安全工具结合起来而避免以前使用时需要的大量跳转工作。要想在kali中使用burp..
分类:
其他好文 时间:
2017-04-09 15:10:29
阅读次数:
461
