最近更新的blog
链接
20150313想为论坛邀请一名新会员?
作者:zjgwh
11212字节
点击:60923
回复:0
所属分类:
创建时间:2015-03-12 17:46:19
最后修改时间:2015-03-13 01:04:57
来了一段时间了
也没有什么贡献
想邀请位新朋友
再次感谢邀请我的朋友
也希望圈内的朋友
多联络多分享交流
-----------------------------------------
分享一段刚刚看到的代码
希望对你有用处
一些代码
2012-11-12 23:29:39 来自:湛二 (只望相随不相离)
关于不老歌的文字
①背景音乐【必须是MP3结尾的音乐链接,而loop是循环次数……比如我的是循环3次】
<bgsound src=http://data1.act3.qq.com/2008-11-05/16/5e884f7dd45fae56979ffa730b972656.mp3 loop=3>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
②头像旁的cbox的留言板【要先注册,然后按照提示生成代码。高宽自己设好】
<div id="cboxdiv" style="text-align: center; line-height: 0">
<div><iframe frameborder="0" width="230" height="110" src="http://www7.cbox.ws/box/?boxid=461309&boxtag=azztcf&sec=main" marginheight="2" marginwidth="2" scrolling="auto" allowtransparency="yes" name="cboxmain7-461309" style="border:#ababab 1px solid;" id="cboxmain7-461309"></iframe></div>
<div><iframe frameborder="0" width="230" height="80" src="http://www7.cbox.ws/box/?boxid=461309&boxtag=azztcf&sec=form" marginheight="2" marginwidth="2" scrolling="no" allowtransparency="yes" name="cboxform7-461309" style="border:#ababab 1px solid;border-top:0px" id="cboxform7-461309"></iframe></div></div>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
③更改不老歌默认字体为tahoma
<style type="text/css">body, td{font-family:tahoma;}p.category a{font-family:tahoma;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
④这个是让文章标题居中的【不要把content前面的“点”给忘记复制】
<style type="text/css">.content h3 {text-align:center;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
⑤用自己的图片做博客背景【要先上传到相册,获取jpg结尾的地址替换我下面的图片地址】
<style type="text/css">body {background-image: url(http://stc.bulaoge.com/stc2/2012w26/065/304/2012062713294454.jpg);background-attachment: fixed;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
⑥更改默认排版的颜色和宽度了【给个配色的网址。(#ffffff←这种就是配色代码可替换)http://www.blueidea.com/download/product/2003/627_2.asp】
<style type="text/css">
#container a {color: #1f4367;} #container {width:900px;background-color:#ffffff}
#banner {background-color: #FFFFFF;}
#center {width:668px;background-color:#FFFFFF;} .content {background-color: #FFFFFF;} #right {border-left:1px solid #e3e3e3;background-color:#ffffff;} .sidebar {background-color: #ffffff;} .sidebar h2 {background-color:#5CACEE;color: #668B8B;border-left:6px solid ##6CA6CD;} .content h2 {background-color:#5CACEE;color: #668B8B;border-left:6px solid #6CA6CD;} #footer{background-color: #ffffff;} #footer a {color: #994c52;} </style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
----------------------------------------------------------------------------------------------------
<style type="text/css">a,a:link,a:visited,a:active{color:#040404;}a:hover{text-decoration: none;border-bottom:1px dotted #c6c8c9;}body{font-size:12px;color:#c0c0c0;background-color:#ddeef5;}#container{width:800px;background:#f8f8f8;border:1px dashed #60b7ca;border-top:0px;}#banner{background:url("http://stc.bulaoge.com/stc2/2012w26/065/304/2012062803493574.jpg");height:320px;padding:0px;border-bottom:0px;}#banner h2 {text-align:left;}#center{background-color: #f8f8f8;width:580px;}.content{background-color:#f8f8f8;color:#090909;padding:5px 14px;}.content h2 {color:#8b8c8c;font-weight:normal;font-size:12px;font-family: Verdana, Arial, Helvetica, sans-serif;border:0px;padding:0px 0px 0px 8px;background-color:#ddeef5;margin:10px 0px 0px 0px;}.content h3 {color:#0f0f0f;font-weight:tahoma;font-family:"宋体";font-size:12px;margin:0px;padding:15px 8px 8px 8px;}.content h3 a{color:#0f0f0f;text-decoration:underline;}.content p{padding:8px;}.content p.posted{border-top:0px;border-bottom:1px dashed #0f0f0f;color:#090909;} .content .blg-content a:link{color:#686969;}.content .blg-content a:visited{color:#474747;}.content .blg-content a:active {color:#474747;}a.text-link:link{color:#49a7f6;}a.text-link:visited{color:#49a7f6;}p.gg a{color:#60b7ca;}p.category{text-align:center;color:#60b7ca;}#right{background-color:#f8f8f8;border-left:0px;}.sidebar{background-color:#f8f8f8;color:#090909;}.sidebar h2{font-family: Verdana, Arial, Helvetica, sans-serif;font-size:12px;font-weight:normal;border:0px;background-color:#ddeef5;color:#2b4361; padding-left:0px;text-align:center;vertical-align:middle;}.sidebar a{color:#090909;}.sidebar a:link{color:#090909;}.sidebar a:visited{color:#090909;}.sidebar a:active{color:#090909;}#footer{background-color:#f8f8f8;margin-top:0px;padding:0px 0px 10px 18px;}#topLink{display:none;}.bulaoge-title{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:13px;}#blgInfo{display:none;}.warning{color: #60b7ca;}.content h3 {text-align:center;}</style><style type="text/css">body, td{font-family:tahoma;}p.category a{font-family:tahoma;}</style>
转帖
--------------------------------------
burp suite 使用教程详解(外文翻译转)
Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.
1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包.
2.Spider(蜘蛛)--Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。
3.Scanner(扫描器)--它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确.
4.Intruder(入侵)--此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等.
5.Repeater(中继器)--此功能用于根据不同的情况修改和发送相同的请求次数并分析.
6.Sequencer--此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.
7.Decoder(解码)--此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.
8.Comparer--此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.
1)Proxy(代理)
代理功能使我们能够截获并修改请求.为了拦截请求,并对其进行操作,我们必须通过Burp Suite配置我们的浏览器.
打开alerts标签,可以看到代理正运行在8080端口.我们可以在Proxy-->options下来修改这个配置.
在这里我们可以编辑代理正在监听的端口,甚至添加一个新的代理监听.Burp也有向SSL保护网站提交证书的选项.默认情况下,Burp创建一个自签名的证书之后立即安装."generate CA-signed per-host certificates"选项选中之后Burp的证书功能将生成一个我们能够链接的证书签署的特定主机.在这里我们关心的唯一事情是,当一个用户链接到一个SSL保护的网站时,能后减少网站警告提示的次数.
如果我们不选中"listen on loopback interface only"选项,意味着Burp Proxy可以作为一个网络上其它系统的代理。这意味着在同一网络中的任何计算机都可以使用Burp Proxy功能成为代理,并中继通过它的流量.
"support invisible proxying for non-proxy-aware client"选项是用于客户端不知道他们使用的是代理的情况下.这意味着代理设置不是设置在浏览器,有时候设置在hosts文件中.在这种情况下,和将代理选项设置在浏览器本身所不同的是Burp需要知道它是从一个非代理客户端接收流量的."redirect to host"和"redirect to port"选项将客户端重定向到我们在该选项后设置的主机和端口。
这里有个选项用来修改从响应中接收到的html网页。我们可以取消隐藏的表单字段,删除javascript等。还有一个选项用自定义字符串替换掉寻找到的特定的模式.我们需要用指定正则表达式。Burp将解析请求或者响应以期望能够寻找到这种模式,将会用自定义的字符串来替换它.
接下来会弹出一个警告弹窗让我们"add item to scope(添加项目到作用域)".点击"Yes".一个范围将在我们运行的测试目标上定义好.
进入Scope标签,我们能够看到DVWA应用已经添加到作用域.
另外一个重要的选项是"application login(应用程序登陆)".一旦Burp Spider提交一个登陆表单的时候就开始爬行(抓取).它可以自动提交我们提供给它的证书.我们同样可以设置admin/password凭证,设置好之后,他们会做为DVWA中的凭证.因此Burp Spider可以自动提交那些信息凭证,并且保持爬行抓取的状态希望能够获得更多的新的信息.你也可以在thread(线程)项来修改线程数.
这样就会启动Burp Spider,在Spider control标签下我们会看到正在做出的请求,我们也可以为Burp Spider自定义一个范围.
3)Intruder(入侵)
Burp Intruder可以用于利用漏洞,模糊测试,暴力猜解等。在这种情况下我们将使用Burp Suite的Intruder对DVWA进行暴力猜解攻击.浏览到DVWA,单击"Burp Force(暴力猜解)",随便输入username和password,确保Burp Suite上的"intercept is on(监听是打开的)".然后点击登陆.
以上的操作会将请求信息发送给intruder功能.进入intruder标签,配置Burp Suite来发起暴力猜解的攻击.在target标签下可以看到已经设置好了要请求攻击的目标
单击右边的"clear"按钮,将会删除所有用不同颜色演示的重要的信息.接下来我们需要配置Burp在这次攻击中只把用户名和密码做为参数.选中本次请求中的username(本例中用户名是指"infosecinstiture")然后单击"Add(添加)".同样的将本次请求中的password也添加进去.这样操作之后,用户名和密码将会成为第一个和第二个参数.一旦你操作完成,输出的样子应该如下图所示:
接下来我们需要设置这次攻击的攻击类型,默认情况下的攻击类型是"Sniper(狙击手)",在本例中,我们将使用"Cluster Bomb(集束炸弹)"的攻击类型.有四种攻击类型,分别是singer,battering ram,pitchfork,cluster bomb.下图中我们看到的我们的攻击类型是"Cluster Bomb'
进入payload标签,确保"payload set"的值是1,点击"load(加载)"加载一个包含用户名的文件 。本例中我们使用一个很小的文件来进行演示.加载之后用户名文件中的用户名会如下图所示
同样设置"payload set"的值为2,点击"load"加载一个密码字典文件。
进入"options"标签,确保results下的"store requests"和"store responses"已经选择.
Burp Suite使用详解
点击左上角的"Intruder"开始攻击,会看到弹出一个windows窗口,其中有我们制作好的所有请求。
我们如何确定哪一个登陆请求是成功的呢?通过一个成功的请求相比不成功的,是有一个不同的响应状态.在这种情况下,我们看到的用户名"admin"和密码"password"的响应长度相比其它的请求,有所不同.
根据不同的响应请求,点击"request".如果点击"response"选项,我们看到文字"welcome the password protected area admin"出现在响应中,这意味着这次请求中使用的username/password是正确的.
Burp的入侵功能是Burp Suite最强大的功能之一.我们要仔细的学习它的使用.
4)Repeater(中继转发)
通过Burp Repeater功能,我们可以手动修改一个请求,并且发送出去,来分析返回的响应.我们需要从不同的地方发送请求给Burp Repeater,比如入侵者,代理等.发送一个请求给Repeater,只需要单击右键"send to Repeater".
点开Repeater标签,会看到request,也可以看到名为1,2,3的3个标签.
我们也可以看到requestparams,header,hex和raw格式的请求,发送请求之前,我们可以修改其中的任何一个.
只修改Params请求下的username=admin,password=password,点击go,这样就会发送这个请求.
我们可以分析response部分返回的响应.
还有几部分功能没有翻译出来,由于英文水平以及工作经验欠缺,很多专业词汇可能翻译不是很准确,贴上原文URL,可以对照阅读.
原文地址:http://resources.infosecinstitute.com/burp-suite-walkthrough/
也没有什么贡献
想邀请位新朋友
再次感谢邀请我的朋友
也希望圈内的朋友
多联络多分享交流
-----------------------------------------
分享一段刚刚看到的代码
希望对你有用处
一些代码
2012-11-12 23:29:39 来自:湛二 (只望相随不相离)
关于不老歌的文字
①背景音乐【必须是MP3结尾的音乐链接,而loop是循环次数……比如我的是循环3次】
<bgsound src=http://data1.act3.qq.com/2008-11-05/16/5e884f7dd45fae56979ffa730b972656.mp3 loop=3>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
②头像旁的cbox的留言板【要先注册,然后按照提示生成代码。高宽自己设好】
<div id="cboxdiv" style="text-align: center; line-height: 0">
<div><iframe frameborder="0" width="230" height="110" src="http://www7.cbox.ws/box/?boxid=461309&boxtag=azztcf&sec=main" marginheight="2" marginwidth="2" scrolling="auto" allowtransparency="yes" name="cboxmain7-461309" style="border:#ababab 1px solid;" id="cboxmain7-461309"></iframe></div>
<div><iframe frameborder="0" width="230" height="80" src="http://www7.cbox.ws/box/?boxid=461309&boxtag=azztcf&sec=form" marginheight="2" marginwidth="2" scrolling="no" allowtransparency="yes" name="cboxform7-461309" style="border:#ababab 1px solid;border-top:0px" id="cboxform7-461309"></iframe></div></div>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
③更改不老歌默认字体为tahoma
<style type="text/css">body, td{font-family:tahoma;}p.category a{font-family:tahoma;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
④这个是让文章标题居中的【不要把content前面的“点”给忘记复制】
<style type="text/css">.content h3 {text-align:center;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
⑤用自己的图片做博客背景【要先上传到相册,获取jpg结尾的地址替换我下面的图片地址】
<style type="text/css">body {background-image: url(http://stc.bulaoge.com/stc2/2012w26/065/304/2012062713294454.jpg);background-attachment: fixed;}</style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
⑥更改默认排版的颜色和宽度了【给个配色的网址。(#ffffff←这种就是配色代码可替换)http://www.blueidea.com/download/product/2003/627_2.asp】
<style type="text/css">
#container a {color: #1f4367;} #container {width:900px;background-color:#ffffff}
#banner {background-color: #FFFFFF;}
#center {width:668px;background-color:#FFFFFF;} .content {background-color: #FFFFFF;} #right {border-left:1px solid #e3e3e3;background-color:#ffffff;} .sidebar {background-color: #ffffff;} .sidebar h2 {background-color:#5CACEE;color: #668B8B;border-left:6px solid ##6CA6CD;} .content h2 {background-color:#5CACEE;color: #668B8B;border-left:6px solid #6CA6CD;} #footer{background-color: #ffffff;} #footer a {color: #994c52;} </style>
【↑↑方法:管理-不老歌信息管理-不老歌简介】
----------------------------------------------------------------------------------------------------
<style type="text/css">a,a:link,a:visited,a:active{color:#040404;}a:hover{text-decoration: none;border-bottom:1px dotted #c6c8c9;}body{font-size:12px;color:#c0c0c0;background-color:#ddeef5;}#container{width:800px;background:#f8f8f8;border:1px dashed #60b7ca;border-top:0px;}#banner{background:url("http://stc.bulaoge.com/stc2/2012w26/065/304/2012062803493574.jpg");height:320px;padding:0px;border-bottom:0px;}#banner h2 {text-align:left;}#center{background-color: #f8f8f8;width:580px;}.content{background-color:#f8f8f8;color:#090909;padding:5px 14px;}.content h2 {color:#8b8c8c;font-weight:normal;font-size:12px;font-family: Verdana, Arial, Helvetica, sans-serif;border:0px;padding:0px 0px 0px 8px;background-color:#ddeef5;margin:10px 0px 0px 0px;}.content h3 {color:#0f0f0f;font-weight:tahoma;font-family:"宋体";font-size:12px;margin:0px;padding:15px 8px 8px 8px;}.content h3 a{color:#0f0f0f;text-decoration:underline;}.content p{padding:8px;}.content p.posted{border-top:0px;border-bottom:1px dashed #0f0f0f;color:#090909;} .content .blg-content a:link{color:#686969;}.content .blg-content a:visited{color:#474747;}.content .blg-content a:active {color:#474747;}a.text-link:link{color:#49a7f6;}a.text-link:visited{color:#49a7f6;}p.gg a{color:#60b7ca;}p.category{text-align:center;color:#60b7ca;}#right{background-color:#f8f8f8;border-left:0px;}.sidebar{background-color:#f8f8f8;color:#090909;}.sidebar h2{font-family: Verdana, Arial, Helvetica, sans-serif;font-size:12px;font-weight:normal;border:0px;background-color:#ddeef5;color:#2b4361; padding-left:0px;text-align:center;vertical-align:middle;}.sidebar a{color:#090909;}.sidebar a:link{color:#090909;}.sidebar a:visited{color:#090909;}.sidebar a:active{color:#090909;}#footer{background-color:#f8f8f8;margin-top:0px;padding:0px 0px 10px 18px;}#topLink{display:none;}.bulaoge-title{font-family:Verdana, Arial, Helvetica, sans-serif;font-size:13px;}#blgInfo{display:none;}.warning{color: #60b7ca;}.content h3 {text-align:center;}</style><style type="text/css">body, td{font-family:tahoma;}p.category a{font-family:tahoma;}</style>
转帖
--------------------------------------
burp suite 使用教程详解(外文翻译转)
Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.
1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包.
2.Spider(蜘蛛)--Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。
3.Scanner(扫描器)--它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确.
4.Intruder(入侵)--此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等.
5.Repeater(中继器)--此功能用于根据不同的情况修改和发送相同的请求次数并分析.
6.Sequencer--此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.
7.Decoder(解码)--此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.
8.Comparer--此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.
1)Proxy(代理)
代理功能使我们能够截获并修改请求.为了拦截请求,并对其进行操作,我们必须通过Burp Suite配置我们的浏览器.
打开alerts标签,可以看到代理正运行在8080端口.我们可以在Proxy-->options下来修改这个配置.
在这里我们可以编辑代理正在监听的端口,甚至添加一个新的代理监听.Burp也有向SSL保护网站提交证书的选项.默认情况下,Burp创建一个自签名的证书之后立即安装."generate CA-signed per-host certificates"选项选中之后Burp的证书功能将生成一个我们能够链接的证书签署的特定主机.在这里我们关心的唯一事情是,当一个用户链接到一个SSL保护的网站时,能后减少网站警告提示的次数.
如果我们不选中"listen on loopback interface only"选项,意味着Burp Proxy可以作为一个网络上其它系统的代理。这意味着在同一网络中的任何计算机都可以使用Burp Proxy功能成为代理,并中继通过它的流量.
"support invisible proxying for non-proxy-aware client"选项是用于客户端不知道他们使用的是代理的情况下.这意味着代理设置不是设置在浏览器,有时候设置在hosts文件中.在这种情况下,和将代理选项设置在浏览器本身所不同的是Burp需要知道它是从一个非代理客户端接收流量的."redirect to host"和"redirect to port"选项将客户端重定向到我们在该选项后设置的主机和端口。
这里有个选项用来修改从响应中接收到的html网页。我们可以取消隐藏的表单字段,删除javascript等。还有一个选项用自定义字符串替换掉寻找到的特定的模式.我们需要用指定正则表达式。Burp将解析请求或者响应以期望能够寻找到这种模式,将会用自定义的字符串来替换它.
接下来会弹出一个警告弹窗让我们"add item to scope(添加项目到作用域)".点击"Yes".一个范围将在我们运行的测试目标上定义好.
进入Scope标签,我们能够看到DVWA应用已经添加到作用域.
另外一个重要的选项是"application login(应用程序登陆)".一旦Burp Spider提交一个登陆表单的时候就开始爬行(抓取).它可以自动提交我们提供给它的证书.我们同样可以设置admin/password凭证,设置好之后,他们会做为DVWA中的凭证.因此Burp Spider可以自动提交那些信息凭证,并且保持爬行抓取的状态希望能够获得更多的新的信息.你也可以在thread(线程)项来修改线程数.
这样就会启动Burp Spider,在Spider control标签下我们会看到正在做出的请求,我们也可以为Burp Spider自定义一个范围.
3)Intruder(入侵)
Burp Intruder可以用于利用漏洞,模糊测试,暴力猜解等。在这种情况下我们将使用Burp Suite的Intruder对DVWA进行暴力猜解攻击.浏览到DVWA,单击"Burp Force(暴力猜解)",随便输入username和password,确保Burp Suite上的"intercept is on(监听是打开的)".然后点击登陆.
以上的操作会将请求信息发送给intruder功能.进入intruder标签,配置Burp Suite来发起暴力猜解的攻击.在target标签下可以看到已经设置好了要请求攻击的目标
单击右边的"clear"按钮,将会删除所有用不同颜色演示的重要的信息.接下来我们需要配置Burp在这次攻击中只把用户名和密码做为参数.选中本次请求中的username(本例中用户名是指"infosecinstiture")然后单击"Add(添加)".同样的将本次请求中的password也添加进去.这样操作之后,用户名和密码将会成为第一个和第二个参数.一旦你操作完成,输出的样子应该如下图所示:
接下来我们需要设置这次攻击的攻击类型,默认情况下的攻击类型是"Sniper(狙击手)",在本例中,我们将使用"Cluster Bomb(集束炸弹)"的攻击类型.有四种攻击类型,分别是singer,battering ram,pitchfork,cluster bomb.下图中我们看到的我们的攻击类型是"Cluster Bomb'
进入payload标签,确保"payload set"的值是1,点击"load(加载)"加载一个包含用户名的文件 。本例中我们使用一个很小的文件来进行演示.加载之后用户名文件中的用户名会如下图所示
同样设置"payload set"的值为2,点击"load"加载一个密码字典文件。
进入"options"标签,确保results下的"store requests"和"store responses"已经选择.
Burp Suite使用详解
点击左上角的"Intruder"开始攻击,会看到弹出一个windows窗口,其中有我们制作好的所有请求。
我们如何确定哪一个登陆请求是成功的呢?通过一个成功的请求相比不成功的,是有一个不同的响应状态.在这种情况下,我们看到的用户名"admin"和密码"password"的响应长度相比其它的请求,有所不同.
根据不同的响应请求,点击"request".如果点击"response"选项,我们看到文字"welcome the password protected area admin"出现在响应中,这意味着这次请求中使用的username/password是正确的.
Burp的入侵功能是Burp Suite最强大的功能之一.我们要仔细的学习它的使用.
4)Repeater(中继转发)
通过Burp Repeater功能,我们可以手动修改一个请求,并且发送出去,来分析返回的响应.我们需要从不同的地方发送请求给Burp Repeater,比如入侵者,代理等.发送一个请求给Repeater,只需要单击右键"send to Repeater".
点开Repeater标签,会看到request,也可以看到名为1,2,3的3个标签.
我们也可以看到requestparams,header,hex和raw格式的请求,发送请求之前,我们可以修改其中的任何一个.
只修改Params请求下的username=admin,password=password,点击go,这样就会发送这个请求.
我们可以分析response部分返回的响应.
还有几部分功能没有翻译出来,由于英文水平以及工作经验欠缺,很多专业词汇可能翻译不是很准确,贴上原文URL,可以对照阅读.
原文地址:http://resources.infosecinstitute.com/burp-suite-walkthrough/
附件:
评论:
本文允许匿名评论
您不能对本文发表评论。