1.5 安全測(cè)試工具

1.5.1 Burp Suite

1.修改十六進(jìn)制編碼

Inspector能夠快速查看與編輯HTTP和WebSocket報(bào)文，而無須在不同選項(xiàng)卡之間切換。可以從Burp Suite報(bào)文編輯器右側(cè)的可折疊面板中訪問Inspector，如圖1-63所示。

Inspector中的HTTP報(bào)文參數(shù)顯示的值是從HTML、URL和Base64中自動(dòng)解碼的，并且將請(qǐng)求和響應(yīng)的參數(shù)、Cookie顯示為一對(duì)鍵值，閱讀起來更加輕松。另外，修改不可見的字符這項(xiàng)功能在實(shí)戰(zhàn)上傳漏洞繞過時(shí)比較常用，可以在報(bào)文任意的位置添加或選擇一個(gè)占位符，再將占位符修改成十六進(jìn)制。例如，將空格Hex表示形式20修改為80，然后單擊下方的Apply changes按鈕即可，如圖1-64所示。

2.捕獲本地地址數(shù)據(jù)包

SwitchyOmega默認(rèn)設(shè)置Burp Suite代理后，抓取不到本地請(qǐng)求的流量，其他地址都是正常的。在情景模式設(shè)置中，從不代理的地址列表中刪除127.0.0.1和localhost仍然無法正常抓包，解決辦法是在不代理的地址列表中添加<-loopback>，如圖1-65所示。

3.安裝Wsdler插件

Wsdler是Burp Suite的一個(gè)插件，專門用于分析和測(cè)試WebService服務(wù)定義的WSDL語言文件。在.NET中，這個(gè)文件通常保存在*.asmx?wsdl路徑下，描述了Web服務(wù)的功能和接口。該插件可以在BApp Store下安裝，如圖1-66所示。

安裝后打開Burp Suite的Proxy選項(xiàng)卡，在請(qǐng)求報(bào)文空白處右擊，可以使用“Parse WSDL”功能，如圖1-67所示。

4.安裝ViewState Editor插件

Burp Suite的ViewState Editor插件是一款用于編輯和分析.NET Web應(yīng)用程序中的ViewState數(shù)據(jù)的工具。ViewState是.NET Web應(yīng)用程序中的一種機(jī)制，用于在Web頁面之間保留和傳輸頁面狀態(tài)信息。ViewState Editor插件的安裝如圖1-68所示。

在Burp Suite的Proxy選項(xiàng)卡中打開攔截到的請(qǐng)求內(nèi)容，ViewState通常包含在Web頁面的請(qǐng)求中，在MAC認(rèn)證未開啟的情況下，響應(yīng)頁插件會(huì)自動(dòng)解碼ViewState編碼的數(shù)據(jù)，返回“MAC is not enabled”，如圖1-69所示。

目前大多數(shù)的.NET服務(wù)端默認(rèn)會(huì)開啟MAC認(rèn)證，因此響應(yīng)頁插件無法正常解碼ViewState數(shù)據(jù)，會(huì)返回“Unrecognized format-may be encrypted”，如圖1-70所示。