官术网_书友最值得收藏!

1.5 安全測(cè)試工具

1.5.1 Burp Suite

1.修改十六進(jìn)制編碼

Inspector能夠快速查看與編輯HTTP和WebSocket報(bào)文,而無須在不同選項(xiàng)卡之間切換。可以從Burp Suite報(bào)文編輯器右側(cè)的可折疊面板中訪問Inspector,如圖1-63所示。

圖1-63 訪問Inspector

Inspector中的HTTP報(bào)文參數(shù)顯示的值是從HTML、URL和Base64中自動(dòng)解碼的,并且將請(qǐng)求和響應(yīng)的參數(shù)、Cookie顯示為一對(duì)鍵值,閱讀起來更加輕松。另外,修改不可見的字符這項(xiàng)功能在實(shí)戰(zhàn)上傳漏洞繞過時(shí)比較常用,可以在報(bào)文任意的位置添加或選擇一個(gè)占位符,再將占位符修改成十六進(jìn)制。例如,將空格Hex表示形式20修改為80,然后單擊下方的Apply changes按鈕即可,如圖1-64所示。

圖1-64 使用Inspector修改十六進(jìn)制編碼

2.捕獲本地地址數(shù)據(jù)包

SwitchyOmega默認(rèn)設(shè)置Burp Suite代理后,抓取不到本地請(qǐng)求的流量,其他地址都是正常的。在情景模式設(shè)置中,從不代理的地址列表中刪除127.0.0.1和localhost仍然無法正常抓包,解決辦法是在不代理的地址列表中添加<-loopback>,如圖1-65所示。

圖1-65 SwitchyOmega設(shè)置抓取本地請(qǐng)求

3.安裝Wsdler插件

Wsdler是Burp Suite的一個(gè)插件,專門用于分析和測(cè)試WebService服務(wù)定義的WSDL語言文件。在.NET中,這個(gè)文件通常保存在*.asmx?wsdl路徑下,描述了Web服務(wù)的功能和接口。該插件可以在BApp Store下安裝,如圖1-66所示。

圖1-66 安裝Wsdler插件

安裝后打開Burp Suite的Proxy選項(xiàng)卡,在請(qǐng)求報(bào)文空白處右擊,可以使用“Parse WSDL”功能,如圖1-67所示。

4.安裝ViewState Editor插件

Burp Suite的ViewState Editor插件是一款用于編輯和分析.NET Web應(yīng)用程序中的ViewState數(shù)據(jù)的工具。ViewState是.NET Web應(yīng)用程序中的一種機(jī)制,用于在Web頁面之間保留和傳輸頁面狀態(tài)信息。ViewState Editor插件的安裝如圖1-68所示。

圖1-67 Wsdler插件的使用

圖1-68 安裝ViewState Editor插件

在Burp Suite的Proxy選項(xiàng)卡中打開攔截到的請(qǐng)求內(nèi)容,ViewState通常包含在Web頁面的請(qǐng)求中,在MAC認(rèn)證未開啟的情況下,響應(yīng)頁插件會(huì)自動(dòng)解碼ViewState編碼的數(shù)據(jù),返回“MAC is not enabled”,如圖1-69所示。

目前大多數(shù)的.NET服務(wù)端默認(rèn)會(huì)開啟MAC認(rèn)證,因此響應(yīng)頁插件無法正常解碼ViewState數(shù)據(jù),會(huì)返回“Unrecognized format-may be encrypted”,如圖1-70所示。

主站蜘蛛池模板: 喀喇沁旗| 上饶县| 普安县| 海安县| 喀什市| 深泽县| 闽侯县| 绥宁县| 龙州县| 广德县| 永州市| 小金县| 托里县| 永宁县| 新疆| 弋阳县| 蚌埠市| 武宁县| 芒康县| 新津县| 星子县| 都兰县| 景德镇市| 临朐县| 南和县| 汝州市| 南岸区| 荣昌县| 抚松县| 雅安市| 汾西县| 大方县| 凌海市| 新巴尔虎右旗| 龙门县| 周宁县| 资兴市| 青铜峡市| 武冈市| 湘乡市| 衡阳县|