Burp suite 3 (泷羽sec)
声明
学习视频来自B站UP主 泷羽sec,如涉及侵泷羽sec权马上删除文章。
笔记只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负
这节课旨在扩大自己在网络安全方面的知识面,了解网络安全领域的见闻,了解学习哪些知识对于我们渗透测试有帮助,避免盲目地学习降低效率。
B站超链接:burp(3)decodor comparer logger模块使用_哔哩哔哩_bilibili
———————————————————————————————————————————
进入界面
- temporary project(临时项目)
- new project on disk(新建项目)
- open existing project(打开一个项目,接着上次的项目)
- pause Automated tasks(是否停止自动化项目)
我们抓的包可以发送到任何一个模块
decoder模块
功能概述:对数据进行编码和解码操作,处理如URL编码、base64编码等常见格式
应用场景:分析HTTP请求中的参数。如果请求参数是编码的,解码后可查看是否存在恶意输入,如SQL注入或XSS攻击的内容
抓一个百度的包,把它的key放进编码器(decoder)进行base64编码
也可以反过来再将他解码
logger(日志模块)
功能概述:
- logger模块主要用于记录通过bp代理的网络流量。
- 它能够详细地记录HTTP请求和响应的各种信息,包括请求方法(GET、POST等)、请求的URL、请求头(User-agent、content-type等)、请求体内容、响应状态码(如200、404等)、响应头和响应体等。
- 这些记录对于安全测试人员来说是非常宝贵的资源,能够帮助他们分析应用程序的行为、追踪潜在的安全漏洞以及重现测试过程
comparer(对比器)
- 这个模块用于对比两个数据块之间的差异。‘
- 他可以精准地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容
- 这有助于安全测试人员快速识别出可能导致安全漏洞或应用程序功能变化的关键差异
将之前抓的包放进conparer
对比一个字节或者全部字节
