1-2 Burpsuite Proxy模块设置_burp抓包检测您的代码环境关闭网络代理后重试-程序员宅基地

技术标签: Burpsuite工具  http  https  代理模式  

Burpsuite Proxy模块

Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。

开启代理:Proxy>inetrcept>inetrcept is off

关闭代理:Proxy>inetrcept>inetrcept is on

在这里插入图片描述

Burpsuite Proxy模块 Intercept介绍

Forward表示将截断的HTTP或HTTPS请求发送到服务器。

服务器也会相对应的给响应到客户端

Drop表示将截断的HTTP或HTTPS请求丢弃。

请求将不会到达服务器,自然也拿不到服务器给客户端的响应

Intercept is on 和 Intercept is off 表示开启或关闭代理截断功能。

Action表示将代理截断的HTTP或HTTPS请求发送到其他模块或做其他处理。

可以体现出Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心

在这里插入图片描述

对Intercept进行 Raw Hex Params Header 切换查看不同的数据格式。

从而进行筛选

在这里插入图片描述

Raw:查看原始值

Params:查看参数和具体的内容

Headers:查看头信息

Hex:查看对应的16进制

Burpsuite Proxy模块 HTTP history介绍

HTTP history用来查看提交过的HTTP请求

在这里插入图片描述

可以查看他的请求和响应,包括不同格式的

HTML:查看页面的源代码

Render:直接查看返回的结果,跟浏览器显示一样的内容

在这里插入图片描述

Filter可以过滤显示某些HTTP请求。点击Filter就可以打开

在这里插入图片描述

对于指定URL可以选中右键点击,执行其他操作

在这里插入图片描述

这里就不一一演示了

WebSockets history与HTTP history功能类似。所以只介绍了一种

Burpsuite Proxy模块 Options介绍

Options具有的功能:代理监听设置、截断客户端请求、截断服务器响应、截断WebSocket通信、服务端响应修改(绕过JS验证文件上传)、匹配与替换HTTP消息中的内容、通过SSL连接Web服务器配置、其他配置选项。

在这里插入图片描述

设置 Proxy Listener

通过设置Proxy Listeners来截断数据流量。比如设置监听端口等。

在这里插入图片描述

在某些情况下,8080端口会被占用,这个时候,我们可以通过Proxy Listeners改变端口,避免端口冲突

代理>Options>代理监听器>选中要改变的端口>编辑>绑定端口>8081>OK

这个时候BP这边就改好了

1-1 Burpsuite安装与配置_山兔的博客-程序员宅基地

参考这篇文章,浏览器那边也改成8081

试了一下,发现成功了

在这里插入图片描述

注意点:

BP那边,一定要勾选Running不然不运行

要浏览器、BP两边同时改变,不然截断会不成功

设置 Intercept Client Requests

通过设置Intercept Client Requests来截断符合条件的HTTP请求。

在这里插入图片描述

具体的你自己去试一试,我也不方便一个个给你操作出来

注意:

规则进行匹配,是由上而下的,越在上面优先级越高

And:必须满足,才可以被截断

Or:有一个满足就可以拦下来

设置 Intercept Server Response

通过设置Intercept Server Response来筛选出符合条件的HTTP响应

筛选服务器端的响应

在这里插入图片描述

只有勾选了拦截响应的规则,才可以使用(默认情况下不勾选)

只有勾选了响应发生了改变,才会自动更新标头

自己去试者点一点,熟悉一下

设置截断Websocket通信以及修改Response的内容

在这里插入图片描述

截断Websocket通信,一个是截断客户端,一个是截断服务器,这两个得根据情况进行勾选

例如可以利用Remove all JavaScript绕过文件上传中的JS验证。

修改Response这个功能很强大,它可以改变服务器发给客户端的响应,可以帮助我们绕过客户端的拦截

这个修改Response功能还不是很强大,它对于某些情况还无法修改,所以BP就补充了一下

匹配以及修改HTTP消息

可以通过替换的方式修改HTTP请求和HTTP响应中的内容。

匹配和替换

在这里插入图片描述

Enabled:启动

Item:选项

Match:匹配规则,用来替换的内容

Replace:如何替换,替换后的内容

Type:替换规则

Comment:注释,表示这条规则有什么用

在这里插入图片描述

设置使用SSL连接到Web服务器

设置使用Burp直接通过SSL直连到目标服务器

在这里插入图片描述

点击添加>添加地址和端口号,即可完成设置,或者添加域名

杂项设置

通过杂项设置对应的请求头等信息

在这里插入图片描述

总结

1、掌握Burpsuite截断代理设置。

2、充分了解Burpsuite Proxy模块使用。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53008479/article/details/121305157

智能推荐

数据结构与算法 - 线性表(完整代码)_线性表完整程序代码-程序员宅基地

文章浏览阅读5.3k次,点赞7次,收藏32次。样例输入:3 //输入一个数a,后面将输入a个数据元素8 9 3 //a个数据元素,依次插入尾结点后。形成单链表结点序列:8,9,33 //输入一个数b,后面将再输入b个数据元素10 89 22 //b个数据元素,依次插入0号结点后。形成单链表结点序列:8,22,89,10,9,389 //删除一个值为89的结点1 //删除1号结点样例输出:8 10 9 3#inc..._线性表完整程序代码

fastjson自动过滤null值解决方案_fastjson parseobject 过滤值为null的字段-程序员宅基地

文章浏览阅读2.7k次,点赞2次,收藏2次。fastjson转换字符串自动过滤value为null的问题背景:使用 JSON.toJSONString(Object object)的时候发现打印出来的字符串少了几个字段,以为代码没走相应的逻辑,发现少的都是value为null的字段,发现是fastjson自动把value为null的字段过滤了。解决办法:设置SerializerFeature序列化属性 SerializerFeatu..._fastjson parseobject 过滤值为null的字段

6447. 【GDOI2020模拟01.19】sort-程序员宅基地

文章浏览阅读292次。题目正解这题一看也是不能写的题目……用个平衡树来维护。平衡树维护的是一个TrieTrieTrie的序列。每个TrieTrieTrie表示这段区间中所有数都会排序一遍。进行各种操作时,首先会将至多两个节点的TrieTrieTrie分裂。分裂TrieTrieTrie会新增O(lg⁡n)O(\lg n)O(lgn)个节点。然后将整段区间旋到一棵子树内,然后打标记。平衡树和TrieTrieTr...

用FFMPEG将字幕“烧”进MP4-程序员宅基地

文章浏览阅读2.3k次。vob,mkv等格式文件以流的形式存储字幕,而mp4不支持这种方式。如果希望生成带字幕的mp4文件,只能将字幕“烧录”到视频中。[code="shell"]ffmpeg -i input.mkv -filter_complex [0:v][0:s]overlay[v] -map [v] -map 0:a -acodec libvo_aacenc -ac 2 -ar 48000 -ab 32..._mp4字幕烧录

vue用户没有头像用姓名首字母做头像_前端头像生成如果没有头像用名字的第一位姓做头像-程序员宅基地

文章浏览阅读2.1k次。avatar.js/***@param widths 画布宽*@param heights 画布高*@param fontSize 字体大小*@param id canvas id值*@param className img ID值或者类名*@param name 用户名*@param index 索引值*/export function draw(widths,heights..._前端头像生成如果没有头像用名字的第一位姓做头像

树莓派pico mpu6050 一阶互补滤波&四元数法 解算姿态角_mpu6050怎样得到四元数-程序员宅基地

文章浏览阅读1.8k次,点赞3次,收藏38次。树莓派pico mpu6050 一阶互补滤波&四元数法 解算姿态角_mpu6050怎样得到四元数

随便推点

rosbag record -a -O cmd_record命令产生.bag.active,如何将其转换成.bag文件,执行rosbag play cmd_record.bag命令呢?_rosbag record生成bag-程序员宅基地

文章浏览阅读2.1k次,点赞2次,收藏12次。看了某站古月居的ROS视频,听着视频,看老师操作感觉很简单,自己跟着做了一遍,发现并不简单,为啥出现了好多奇怪的问题。 下面是解决将.bag.active转换成.bag文件的详细步骤!其中cmd_record是文件名。1、先用 $ rosrun turtlesim turtlesim_node 命令调出小海龟,然后让它走两步。2、之后用命令 $ rosbag record -a -O cmd_record 记录数据。..._rosbag record生成bag

Vue项目在Docker的自动化部署_vue+ts项目docker自动化部署-程序员宅基地

文章浏览阅读2.6k次。操作系统:CentOS部署环境:DockerCI/CD工具:Jenkins1.环境配置安装Jenkins:Centos安装Jenkins安装Docker:Centos安装Git、DotNet、Docker2.Github创建仓库https://github.com/longtaosu/Vue2DockerDemo3.本地初始化Vue项目初始化过..._vue+ts项目docker自动化部署

worldpress(管理员头像) 您可以在Gravatar修改您的资料图片_您可以在 gravatar 修改您的资料图片。-程序员宅基地

文章浏览阅读6.1k次。worldpress(想修改一下管理员头像),默认的是空的提示 您可以在Gravatar修改您的资料图片。看来需要去Gravatar上面才行,进去以后速度有点慢,先注册一个吧很简单创建一个帐号,随便注册一下就可以了。关键应该是从自己网站的链路点进去。登录成功后点击我的站点需要登录邮箱激活,等了半天没有看到邮件,后来找了一下在垃圾邮件里面。。果断激..._您可以在 gravatar 修改您的资料图片。

(4) 李航《统计学习方法》基于Python实现——朴素贝叶斯_统计学习方法李航朴素贝叶斯例题代码实现基于python-程序员宅基地

文章浏览阅读4.4k次,点赞32次,收藏7次。1:高斯模型下的朴素贝叶斯import numpy as npimport pandas as pdfrom sklearn.datasets import load_irisfrom sklearn.model_selection import train_test_splitfrom collections import Counterimport math# 特征假设是..._统计学习方法李航朴素贝叶斯例题代码实现基于python

pandas 将日期字符串转换为数字,并截取小时或者任意时间维度_pandas将字符串时间转换成数字-程序员宅基地

文章浏览阅读5.2k次。>>> haha = pd.DataFrame({'时间':['2017-01-01 13:15:00','2017-01-01 01:30:00','2017-01-01 04:45:00']})>>> haha['时间'] = haha['时间'].str.slice(11,13,1)>>> haha['时间']0 131 ..._pandas将字符串时间转换成数字

python异步函数中调用同步函数_可否在异步函数内写同步函数-程序员宅基地

文章浏览阅读3.7k次。异步函数调用同步函数普通函数里面不能await,只有async函数才能await。也就是说,同步函数执行的时候会阻塞所有协程。直接调用如果同步函数执行的时间很短。就直接调用。在执行器里跑如果同步函数执行的时间很长,就要让它在另外一个线程跑。以下代码是让同步函数在默认的线程池里跑。这是在另外一个线程,不会卡住与我们同一个事件循环的协程们。 result = await loop..._可否在异步函数内写同步函数