下载 火狐foxyproxy 和 burp 两个代理ip端口填写一致 如果对于公司有正向代理服务器,则需要配置burp的上游代理 对于IE浏览器的代理是windows操作系统的全局代理,在ie配置代理,整个代理所有网络都要通过这个代理, IE是总开关,火狐浏览器是小开关,火狐浏览器foxyproxy是火狐的小小开关.…

原文:http://www.lvtao.net/tool/640.html 虽然autoproxy是火狐上最优秀的代理插件,但是好久不更新,也有一些bug,比如观看youtube视频7分钟左右会无法播放.既然 作者一直不更新,那么我们就换插件吧.FoxyProxy也是一款优秀的代理插件,现在已经可以订阅autoproxy的规则. 1.准备工作 ① FoxyProxy的工作前提需要本地有socks5或http代理,推荐使用boafanx的ssh代理或shadowsocks代理. ② 如果你的浏览器…

web 程序中离不开数据库,但到今天 SQL注入是一种常见的攻击手段.如今现在一些 orm 框架(Hibernate)或者一些 mapper 框架( iBatis)会对 SQL 有一个更友好的封装,使得SQL注入变得更困难,同时也让开发者对SQL注入漏洞放松警惕,甚至一些开发者是不知道有SQL注入这回事的.下面通过 dvwa 一起来了解下SQL注入的漏洞吧. 低级 界面如下 功能很简单,就是输入 user Id,就显示对应的用户的 FirstName 和 SurName. 代码如下. <?php…

HTTPS协议是为了数据传输安全的需要,在HTTP原有的基础上,加入了安全套接字层SSL协议,通过CA证书来验证服务器的身份,并对通信消息进行加密.基于HTTPS协议这些特性,我们在使用Burp Proxy代理时,需要增加更多的设置,才能拦截HTTPS的消息. 我们都知道,在HTTPS通信过程中,一个很重要的介质是CA证书,下面就我们一起来看看 Burp Suite中CA证书的安装. 相信很多人在用Burp Suite 抓包时,都遇到过如下情况: 这是由于未安装Burp Suite 的CA证书导…

公众号:白帽子左一 版本说明:Burp Suite2.1 下载地址: 链接:https://pan.baidu.com/s/1JPV8rRjzxCL-4ubj2HVsug 提取码:zkaq 使用环境:jre1.8以上 下载链接:https://pan.baidu.com/s/1wbS31_H0muBBCtOjkCm-Pg 提取码:zkaq 工具说明:Burp Suite 是用于攻击web 应用程序的集成平台 引言 在全球最受安全人员欢迎的工具榜单中,Burp Suite这个工具排名第一,并且排名…

APP的测试重点小部分在APP本身,大部分还是在网络通信上(单机版除外).所以在安卓APP测试过程中,网络抓包非常重要,一般来说,app开发会采用HTTP协议.Websocket.socket协议,一般来说,HTTP协议最多,Websocket是后起之秀,socket最少,而针对HTTP和websocket,Burp Suite工具是最适合不过的工具了.但是在遇到了app使用SSL或TLS加密传输(https)的时候,由于证书不被信任,直接导致网络通信终端,抓包失败.本文介绍如何使用Burp s…

一.确认代理信息 打开Burp Suite,查看proxy->options,看到Interface一栏为127.0.0.1:8080. 二.在Firefox中设置代理服务器 可以下载工具FoxyProxy. 使用FoxyProxy,点击Options 点击Add,创建代理服务器连接(配图中绿色的为我已经建立好的) 设置为HTTP型,标题随意,IP输入127.0.0.1,端口输入8080,然后点Save保存 选择应用此新建的代理 三.下载与导入证书 在浏览器中输入网址localhost:8080…

burp导入证书后仍然抓不到https包 如果你是导入证书有问题,请参考此博客 http://blog.csdn.net/zyw_anquan/article/details/47904495 有一点需要注意一下: 博客中的http://burp直接访问是不行的,这里我通过127.0.0.1:8080访问到burp界面(先打开burp,设置好端口),点击CA Certificate导出证书. 导入证书成功之后仍有问题,有可能是在设置代理上出了问题. 以火狐为例 应注意将SSL代理勾选上,这个坑了…

i春秋作家:Passerby2 web应用测试综述: Web应用漏洞给企业信息系统造成了很大的风险.许多web应用程序漏洞是由于web应用程序缺乏对输入的过滤.简而言之Web应用程序利用来自用户的某种形式的输入并且在应用程序中执行了这些信息为其提供内容或者从系统的其他部分获取数据.如果未正确过滤输入攻击者可以发送非标准输入来利用web应用程序.本文将重点讨论burpsuite并介绍如何利用它来评估web应用程序. Burpsuite综述 Burpsuit有许多功能包括但不限于 Intercept…

1. 下载burp suite 2.安装,设置并代理上 3. 打开http://burp并且下载证书 4. 点击打开选择始终信任并且导出桌面 5. 火狐打开设置至证书一栏[证书机构]导入切信任 6.大功告成…