wordpress站标,wordpress移动端缓存,深圳有什么公司名称,网站建设系统哪家好如果只能用一个Web渗透工具#xff0c;我选BurpSuite。
Web应用程序#xff08;Web Application#xff09;
不同于传统的静态网站所有程序的特点是接收、处理用户输入并返回结果服务器端是个程序#xff0c;需要程序代码实现业务功能#xff08;java、php、asp.nse我选BurpSuite。
Web应用程序Web Application
不同于传统的静态网站所有程序的特点是接收、处理用户输入并返回结果服务器端是个程序需要程序代码实现业务功能java、php、asp.nseWeb服务器Apache、IIS数据库oracle、mysql其他后端组件soap、web service客户端浏览器代码
BurpSuite
Web应用安全集成测试平台 最高效的Web安全测试工具 胡同的模块化架构 Java编写跨平台 手动自动 文档健全 截断代理最有效 安装字体Linuxttf-wqy-microhei这是个中文字体如果你的Kali或者Burp都是英文的而服务器返回的是中文的就可能导致乱码 解决安装kali 2020.1版本后的中文乱码问题只需要安装中文字体_2020中文文字乱码视频全集-CSDN博客 PortSwigger 公司开发 免费版 付费版 使用
Temporary project in memory临时项目如果用完就关闭的话在你下次打开的时候之前的记录就都不在了需要重复渗透测试的就选New project on disk User Option可以调整字体
HTTP message display改成中文字体这样返回包有中文就不会乱码了 Character sets选择第一个设置字符自动识别可以很省事是UTF-8就UTF-8是Big5就Big5
截获流量
手机全局代理CA证书SSL流量截获代理选项 启动 Project Projection Option Configuration file User Option Target Site Map(比较) Scope Filter Web扫描器爬网、扫漏洞 Sipder 手动爬 自动爬 Option Scanner Extenderhttp://www.jython.orq/downloads.html Option Queue
Intruder 客户端验签
浏览器客户端分析客户端脚本APP客户端反编译客户端程序/探测
Java序列化
基于Java的富客户端程序BurpJDSer反序列化、插件https://github.com/khai-tran/BurpJDSer Repeater
Change request methodChange body encodingCopy as curl command
Sequencer
分析随机数据的可预测性Session cookiesanti-CSRF tokensStart live captureFIPS——美国联邦信息处理标准Federal Information Processing Standard
Kali里面有很多自带的字典 Decoder
smart decode
Collaborator
对于无法直接发现的漏洞通过payload出发 W 与 C 服务器交互paramhttp://rd8bxznao38t15fs234q5vt4ivomcc01.oastify.comW DNS解析、HTTP请求发给 C基于密钥的身份识别官方 C、自建C、不用C安全问题C 短时间在内存中保存数据项目选项-Misc-Burp Collaborator Server
Infiltrator
部署在服务器端注入hook指令发现存在风险的API调用不可逆的修改服务器端字节码文件会造成性能、稳定性、通信质量、信息泄露等问题测试环境仅支持Java1.4-1.8、.NET语言环境从Burp导出安装包与Collaborator结合使用
Clickbandit
检测点击解除漏洞的客户端脚本不支持微软 IE、Edge浏览器Web Developer - Console
