使用burp suite抓取用户信息
Capturing user information using burp suite
我是网络渗透测试的新手。我有个问题。请推荐
说,我有一个 https url 并且我已经将所有 http 请求设置为通过 burp 代理配置访问。在一般情况下,如果我们从 firefox 等客户端访问 url,我们知道我们可能会遇到多个域的安全异常,我们需要为每个域添加安全异常。跨越安全异常后,我们可以访问 url 并且可以通过 burp 访问用户名和密码(通过将拦截设置为 ON)。
1) 如果我们在为多个域添加安全例外后能够访问Web 应用程序,那么是否意味着Web 应用程序没有正确处理安全问题?
2) 此外,像 firefox 这样的客户端或 Web 应用所在的服务器 运行 是否需要处理此类安全问题?
您所说的内容会影响您的网络浏览器,并不表示您正在查看的网络应用程序中的安全配置。由于 burp 正在代理 SSL,因此它需要使用证书进行响应才能查看流量。否则,您只会传输您无法拦截和查看的加密流量。
您的浏览器发现该证书对您尝试访问的站点无效并向您显示警告。
您可以通过配置 Burp 的 CA 证书来避免每次都必须添加安全例外。说明在这里:https://portswigger.net/burp/help/proxy_options_installingCAcert.html
本质上,您将浏览到 http://burp,同时配置为通过 burp 代理。在这里,您将下载证书,然后按照上面的链接说明导入到您的浏览器中。
玩得开心。
我是网络渗透测试的新手。我有个问题。请推荐
说,我有一个 https url 并且我已经将所有 http 请求设置为通过 burp 代理配置访问。在一般情况下,如果我们从 firefox 等客户端访问 url,我们知道我们可能会遇到多个域的安全异常,我们需要为每个域添加安全异常。跨越安全异常后,我们可以访问 url 并且可以通过 burp 访问用户名和密码(通过将拦截设置为 ON)。
1) 如果我们在为多个域添加安全例外后能够访问Web 应用程序,那么是否意味着Web 应用程序没有正确处理安全问题?
2) 此外,像 firefox 这样的客户端或 Web 应用所在的服务器 运行 是否需要处理此类安全问题?
您所说的内容会影响您的网络浏览器,并不表示您正在查看的网络应用程序中的安全配置。由于 burp 正在代理 SSL,因此它需要使用证书进行响应才能查看流量。否则,您只会传输您无法拦截和查看的加密流量。
您的浏览器发现该证书对您尝试访问的站点无效并向您显示警告。
您可以通过配置 Burp 的 CA 证书来避免每次都必须添加安全例外。说明在这里:https://portswigger.net/burp/help/proxy_options_installingCAcert.html
本质上,您将浏览到 http://burp,同时配置为通过 burp 代理。在这里,您将下载证书,然后按照上面的链接说明导入到您的浏览器中。
玩得开心。