标签: burp

发布于

FiddlerScript / Burp Extensions Python API:如何编写自定义代理规则,对 HTTP/HTTPS 流量进行自动化过滤、修改和重放?

各位老铁,大家好!今天咱们来聊聊如何用 FiddlerScript 和 Burp Extensions Python API,打造属于你自己的代理规则,玩转 HTTP/HTTPS 流量的过滤、修改和重放。 咱们先来热热身,简单了解一下这俩工具的特性。 FiddlerScript:拦截、修改、重定向,一条龙服务 FiddlerScript 是 Fiddler 自带的脚本语言,基于 JScript.NET。它主要通过事件处理函数来工作,比如 OnBeforeRequest(请求发送前)和 OnBeforeResponse(响应返回前)。你可以用它来: 拦截请求/响应: 阻止某些请求发送出去,或者阻止某些响应返回给客户端。 修改请求/响应: 修改请求的 URL、Headers、Body,或者修改响应的 Status Code、Headers、Body。 重定向请求: 将请求转发到其他服务器。 FiddlerScript 的优点是简单易用,上手快。缺点是功能相对有限,扩展性不如 Burp Extensions。 Burp Extensions Python API:灵活、强大,定制化利器 Bu …

继续阅读“FiddlerScript / Burp Extensions Python API:如何编写自定义代理规则,对 HTTP/HTTPS 流量进行自动化过滤、修改和重放?”

发布于

Zaproxy / Burp Suite Active / Passive Scanner:如何配置这些工具,自动发现 JavaScript 相关的漏洞,如 DOM XSS?

咳咳,各位观众老爷们,晚上好!我是今天的主讲人,江湖人称“代码老司机”。今儿个咱不飙车,咱来聊聊网络安全这事儿,特别是怎么用 Zaproxy 和 Burp Suite 这俩神器,自动揪出 JavaScript 相关的漏洞,尤其是那个让人头疼的 DOM XSS。 开场白:为啥 JavaScript 漏洞这么重要? JavaScript 现在在 Web 应用里几乎无处不在,前端交互、后端逻辑、甚至移动应用都离不开它。这也意味着,一旦 JavaScript 代码出了问题,攻击面就非常广。DOM XSS 就是其中一种非常常见的漏洞,它不需要服务器参与,完全在客户端发生,隐蔽性强,危害性大。 第一部分:Zaproxy 和 Burp Suite 的基础配置 要想让 Zaproxy 和 Burp Suite 自动发现漏洞,首先得配置好它们。这两个工具都提供了主动扫描和被动扫描两种模式。 主动扫描 (Active Scanning): 就像拿着放大镜,主动去戳每个角落,看看有没有漏洞。 被动扫描 (Passive Scanning): 像个安静的美男子,默默观察用户浏览网站的流量,从中发现蛛丝马迹。 …

继续阅读“Zaproxy / Burp Suite Active / Passive Scanner:如何配置这些工具,自动发现 JavaScript 相关的漏洞,如 DOM XSS?”

发布于

如何通过 FiddlerScript 或 Burp Extensions API (Python/Java) 编写自定义脚本,对特定流量进行自动化篡改和分析?

各位观众老爷,晚上好!今天咱们来聊聊怎么用FiddlerScript和Burp Extensions API,化身流量魔术师,玩转自动化篡改和分析。准备好接招了吗? 第一幕:FiddlerScript,轻量级流量改造专家 FiddlerScript,顾名思义,是Fiddler的脚本语言,基于JScript.NET。它能让我们在Fiddler捕获到流量的那一刻,像个隐形的手术刀,精准地修改请求和响应。 打招呼:Hello, FiddlerScript! 打开Fiddler,点击 Rules -> Customize Rules…,就能进入FiddlerScript编辑器。找到 OnBeforeRequest 和 OnBeforeResponse 这两个函数,它们是我们的舞台。 static function OnBeforeRequest(oSession: Session) { // 在请求发送前执行的代码 oSession.utilDecodeRequest(); // 解码请求 if (oSession.uriContains(“example.com”)) { oSes …

继续阅读“如何通过 FiddlerScript 或 Burp Extensions API (Python/Java) 编写自定义脚本,对特定流量进行自动化篡改和分析?”

发布于

JS `Zaproxy` / `Burp Suite` `Active / Passive Scanner` 自动发现漏洞

各位靓仔靓女,老少爷们,晚上好!我是今晚的讲师,很高兴和大家聊聊JS、Zaproxy和Burp Suite这三个神器,以及它们如何联手自动发现漏洞,就像抓小偷一样,一个都跑不掉! 今天咱们的主题是:JS Zaproxy / Burp Suite Active / Passive Scanner 自动发现漏洞:抓贼三人组的完美配合! 咱们先来个热身,简单介绍下这三位主角,免得有些人还不认识它们: JS (JavaScript): 前端扛把子,负责在浏览器里跑来跑去,渲染页面,处理用户交互。但跑得太欢也容易留下安全隐患。想想你家门没锁就跑出去玩,小偷不惦记你惦记谁? Zaproxy (OWASP ZAP): 免费开源的Web应用安全扫描器,就像一个经验丰富的保安,主动(Active Scan)或者被动(Passive Scan)地帮你检查网站的安全漏洞。 Burp Suite: 专业的Web应用安全测试工具,功能强大,就像一个装备精良的特警,主动出击(Active Scan)或者默默监视(Passive Scan),帮你找出各种安全问题。 好,主角介绍完毕,下面咱们进入正题。 第一部分:J …

继续阅读“JS `Zaproxy` / `Burp Suite` `Active / Passive Scanner` 自动发现漏洞”

发布于

JS `Fiddler` / `Burp Suite` / `Wireshark` 抓包工具高级使用

嘿,各位观众老爷们,又见面了!今天咱们不聊妹子,聊点硬核的——JS抓包工具的高级用法。准备好,要开车了! 首先,让我们来认识一下今天的主角:Fiddler、Burp Suite、Wireshark。这三位可是抓包界的扛把子,各有千秋。 Fiddler: 简单易用,适合新手入门,功能也足够强大,可以用来修改请求和响应。 Burp Suite: 专业级选手,功能非常全面,渗透测试必备,就是配置有点复杂。 Wireshark: 骨灰级玩家专属,直接抓取网络数据包,协议分析神器,需要一定的网络知识。 今天咱们主要讲Fiddler和Burp Suite,Wireshark先放一边,那玩意儿太深奥,容易劝退。 第一部分:Fiddler高级玩法 Fiddler被称为“Web调试代理”,它的核心功能就是拦截HTTP/HTTPS流量,让你能够查看、修改请求和响应。 1. AutoResponder规则的高级运用 AutoResponder是Fiddler最常用的功能之一,它可以将特定的请求重定向到本地文件或其他URL。 场景一:模拟接口返回数据 假设你正在开发一个前端页面,但是后端接口还没完成,怎么办? …

继续阅读“JS `Fiddler` / `Burp Suite` / `Wireshark` 抓包工具高级使用”