使用burpsuite對APP資料報進行安全測試

2022-06-15 12:42:14 字數 1283 閱讀 8765

如之前的文章將手機抓包監聽環境設定好後(之前學習burpsuite的時候寫的,儲存到草稿箱,忘記發了。。。),主要用到的功能如下:

1-1、資料報篡改

截獲包後,可以對資料報中的內容在raw標籤框中直接進行修改,然後選擇forward按鈕發出,或者選擇drop丟棄。

例如,如圖將word=ab修改為word=cc後,瀏覽器會顯示「cc」的搜尋結果。可以在登入過程中對登入引數進行修改後forward包來進行一些測試。

1-2、重放攻擊

重放攻擊或者修改後發包,在攔截頁面選擇action按鈕,或者在histroy頁面對任意包點選右鍵,選擇send to repeater,點選repeater選項卡,可以對包進行修改後再次傳送,或者直接傳送。在頁面的respose框中可以看到返回資料。

1-3、暴力破解

在攔截頁面選擇action按鈕,或者在histroy頁面對任意包點選右鍵,選擇send to intruder,點選intruder選項卡的position選項卡下,可以通過$$括起來,設定要通過payload填充的變數。

多個變數的沒有找到說明,評估中不涉及,就沒有測試了。

選擇選單欄中的start attack,開始攻擊。

2、其他軟體設定類功能:

2-1、設定攔截指定範圍的資料報

2-2、對檢視的包進行過濾。

點選箭頭指向的文字可開啟過濾選項卡,過濾要顯示的包。

2-3、解碼

decoder選項卡,可以在頁面選擇一段文字後,右鍵傳送到該頁面。試了下,感覺目前能用到的就是base64的解碼。

2-4、不同包資料對比

compare選項卡,可以在其他頁面選擇乙個資料報,右鍵選擇send to compare,然後在這個選項卡中,select item1和select item2分別選擇乙個資料報,點選words或者bytes按鈕進行包內容的對比。

2-5、開啟response包攔截

預設對response是不攔截的,需要在proxy的option中自行開啟intercept server responses

另外,關於非http包,搜尋了好多,證實直接攔截不了,沒法篡改非http包來做攻擊,網上搜尋有說使用乙個外掛程式的,有興趣的可以去試試。

BurpSuite 抓安卓app包

認準夜神安卓模擬器,下了幾個其他的模擬器都沒有 的功能 一 夜神安卓模擬器設定 1.點選右下角的設定 2.點選設定,進入到wifi連線選項 3.進入列表後,滑鼠點選wifi位置,長按左鍵,會出現乙個修改網路的彈窗 4 點選上圖中的 修改網路 勾選 顯示高階選項 選擇 手動 伺服器主機名填寫你電腦的i...

BurpSuite工具使用說明

burp suite 是用於攻擊web 應用程式的整合平台,包含了許多任務具。burp suite為這些工具設計了許多介面,以加快攻擊應用程式的過程。所有工具都共享乙個請求,並能處理對應的http 訊息 永續性 認證 日誌 警報。下面介紹burpsuite工具的使用說明 1.設定 的方法 以chro...

使用fiddler與burpsuite聯動

burpsuite和fiddle進行串聯抓包 tools options connections gateway,然後在manual proxy configuration當中輸入以下內容 設定好這兩步後就可以正常抓包,並且把流量 到8080埠,但是抓取https的包需要匯入證書,可以參考這篇文章 ...