它作為乙個 web **伺服器執行,並且位於瀏覽器和目標 web 伺服器之間。這允許攔截、檢查和修改在兩個方向上通過的原始流量
scanner
乙個 web 應用程式安全掃瞄器,用於執行 web 應用程式的自動漏洞掃瞄
intruder
此工具可以對 web 應用程式執行自動攻擊。該工具提供了一種可配置的演算法,可以生成惡意 http 請求。intruder 工具可以測試和檢測 sql 注入、跨站指令碼、引數篡改和易受蠻力攻擊的漏洞
spider
乙個自動抓取 web 應用程式的工具。它可以與手工對映技術一起使用,以加快對映應用程式內容和功能的過程
repeater
乙個可以用來手動測試應用程式的簡單工具。它可以用於修改對伺服器的請求,重新傳送它們並觀察結果
decoder
一種將已編碼的資料轉換為其規範形式,或將原始資料轉換為各種編碼和雜湊形式的工具。它能夠利用啟發式技術智慧型識別多種編碼格式
comparer
在任意兩個資料項之間執行比較(乙個視覺化的「差異」)的工具
extender
sequencer
一種分析資料項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的資料項,如反 csrf 令牌、密碼重置令牌等
實驗環境:http實驗場景1
通過資料報的篡改實現本地訪問
burpsuite設定監聽位址(監聽的埠不能與系統已有服務相衝突,該埠與瀏覽器**埠要一樣)
burpsuite設定攔截策略
火狐瀏覽器**設定
未改包前
抓包並改包,新增頭部欄位x-forwarded_for: 127.0.0.1
同理可通過資料報篡改實現異地訪問
未改包前
抓包並改包,修改accept-language: en-gb
完成黑客魔法學院申請表逗逼表單
通過html原始碼可以看出,表單字段被限制(字段限制,其實可以通過直接修改html即可通過,但由於這個表單需要配合修改頭部字段,所以直接採用修改資料報)
使用burpsuite改包
admin 修改資料報錯
目錄 環境bug 漏洞編碼 症狀觸發條件 解決方案 環境系統平台 n a 版本 4.3.4,4.3.4.2,4.3.4.3,4.3.4.4,4.3.4.5 bug 漏洞編碼 症狀安全版資料庫admin工具自生成sql語句會將null值轉換為 null 導致用工具修改表資料報錯。觸發條件 在admin...
理解 如何在記憶體中篡改資料
今天繼續看 linux程式設計第四版 發現了乙個很好玩的東西。資料如果讀入記憶體了,怎麼去修改.另外各類基本的c語言函式用法也過了一遍。include include include include includetypedef struct record define nrecords 100 i...
Fiddler的使用(抓包,斷點,篡改資料)
一,fiddler簡介 fiddler是最常用的web除錯工具之一,位於客戶端和伺服器端的http 因為它能夠記錄客戶端和伺服器之間的所有 http請求,可以針對特定的http請求,分析請求資料 設定斷點 除錯web應用 篡改請求的資料,甚至可以修改伺服器返回的資料,功能非常強大實用。看不懂英文的,...