|
|
|
联系客服020-83701501

Burp Suite处理“不支持代理”的客户端

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Burp Suite处置惩罚惩罚“不反对署理”的客户端 ? ? ? ? ?偶然,测试人员必要测试利用在浏览器之外运行的胖客户端垄断步伐。许多这种客户端并不供给任何用于配置HTTP署理办事器的设置。它们只是测验考试直连续接到托管垄断步伐的Web办事器。这种举止招致测试人员无奈利用拦截署理办事器来搜查和修改垄断步伐的流量。 91ri.org科普:胖客户端是绝对于“瘦客户端”(Thin Client)(基于Web的垄断步伐)而言的,它是在客户板滞上铺排配置的1个听命丰硕的交互式的用户界面,例如Oracle、DB2数据库的客户端管理工具。 ? ? ? ? ?幸好,在这种情况下,测试人员大约利用Burp Suite供给的1些听命继续完成测试。为此,测试人员必要遏制以下的步伐:. 1、修改垄断零碎的hosts文件,将垄断步伐利用的主机名解析为测试人员大家的回环地址(127.0.0.1)。例如:127.0.0.1 www.91ri.org ?这会招致胖客户真个乞求被重定向到测试人员的大家的算计机。 注:win7下的hosts默认文件门路为:C:WINDOWSsystem三2driversetchosts 2、对于垄断步伐利用的每一个目的端口(个体为80和44三端口啦),在回环接口的这些端口上设置1个Burp Suite监听器,并将该监听器设置为反对匿名署理。匿名署理听命指监听器将承受胖客户端发送的非署理楷模的乞求(这些乞求已被重定向到测试人员的回环地址啦)。具体设置以下: ?setting1 Setting_1 setting2 Setting_2 三、匿名模式署理反对HTTP和HTTPS乞求。为灌输SSL碰着致命的证书不合错误,或是必要将匿名署理监听器配置为暗示采集胖客户端冀望的特定主机名的SSL证书 4、对于已经利用hosts文件重定向的每一个主机名,配置Burp将主机名解析为其原始的IP地址。这些设置位于Options->Connections->Hostname Resolution( 选项->联接->主机名解析)下。测试人员大约通过这些设置指定域名到IP地址的定制晖映,以覆盖算计机大家的DNS解析。如许,Burp提出的出站乞求将去到切确的目的办事器。(假设不实行此步伐,乞求将在无穷轮回中重定向到测试人员大家的算计机。),以下图: warning 5、在匿名模式下运行时,Burp Suite将确定应利用在乞求中暗示的Host信息头将每一个乞求转发到的目的主机。假设所测试的胖客户端没在乞求中采集Host信息头,Burp将无奈切确转发乞求。假设只要处置惩罚惩罚1个目的主机,大约通过匿名署理监听器配置为部门乞求重定向到所需目的主机来筹算这1题目。但若要处置惩罚惩罚多个目的主机,则必要在多台算计机上运行多个Burp实例,并利用hosts文件将每一个目的主机的流量重定向到别的拦截办事器。 最后的功效以下图: result 小编闭幕: ? ? ? ? ?神马?你说我有点蛋疼弄这么无聊的工具R三0;确实很蛋疼,搞了1个上午凡是80端口被占用R三0;遽然惊醒!本来是迅雷不才电影!万恶淫为首啊啊啊! ? ? ? ? ?虽然很蛋疼,但是1点也不无聊呢:1、你大约用它来抓种种扫描器、种种神器的包,然后阐发1下这些神器们的袭击载荷是什么样的、往常是怎么样工作的等等,你即大约更深地熟谙和利用工具了,虽然用抓包工具也大约,但是抓包工具哪能和Burp Suite大神器比啊啊啊。2、这才是垂危1点,这有点像游戏表面的火器融合孕育产生出更强大的火器,你想一想往常假设碰着不凡情况梗概很刁钻的站,你的神器们都派不上用场,这时刻等于靠Burp Suite来抓包改包副手你啦,完成真正的强大灵动的主动化+手工副手R三0;.(= ̄ω ̄=) ? ? ? ? ?怎么样样,是不是热血沸腾跃跃欲试大快民意呢,小编只是举一反三,真正强大的结合还要靠各位大黑阔们去开辟啦,假设想出什么好的希图的话,请不惜发给小编哦~~ 本文摘自《黑客攻防技能宝典:web实战篇》,实行由91ri.org完成,转载请注明来由。

数安新闻+更多

证书相关+更多