1.Repeater模块

Repeater是BurpSuite里的“重放”模块,也是最常见的模块之一。

先打开浏览器随便搜索一些内容,然后发现网页的title变成所搜索的内容,之后复制网页地址栏的连接,找到BurpSuite的Repeater模块。

在Request(橘红色)里的空白区域右键后点击Paste URL as request就会将所复制的连接转成请求。

然后点击send按钮就行重放。

在右边就会出现网页属性,以及重放后的HTML代码,修改左边请求的搜索内容后(不过BurpSuite对中文好像不太友好),重新点击send进行重放即可做到重放攻击。

关于该技能包所使用的重放攻击还有很多不太理解,下面为本人理解:当获取受害者网页请求后,进行内容修改(重放),比如简单的修改要访问的网页内容后,点击send进行重放就可以以受害者的IP、ID(就像是受害者亲自发的一样)进行访问网址(当然这是本人自以为是建立在点击send按钮后是通过受害者的请求进行访问的)

2.绕过前端限制(新手版)

由于我是用二向箔的靶场进行练习的,所以在测试的时候尽量去找靶场练习,二向箔安全学院网址:https://twosecurity.cn/
可以通过绕过前端限制将需要传输的内容显示在输出节点上,比如传输一段JS的弹窗代码(alert(…))。

操作开始:

这是一个个人信息界面

进行修改信息,可以发现除了邮箱输入节点以外其他都是String格式(新人の理解)。

重新修改测试,发现有前端限制,不能使用尖括号等特殊符号。

打开浏览器代理(之前有写过博客)和BurpSuite,准备开始绕过前端限制,BurpSuite选择Proxy模块,Intercept is on为开始抓包。

再次修改信息至可以正常提交,进行提交,BurpSuite成功抓到包。

不知道这里面有没有有用的信息可以定位到我,也不知道火绒防不防得住(害怕.jpg)

开始修改请求包的数据,将email内容改为需要的包含特殊符号的XSS语句(输入的字符必须是英文),如:<img src=xss onerror=alert(xss)>(onerror:当视频/图片/音频加载失败后执行该内容。因为没有填图片地址,所以会加载失败),点击Forward进行发送请求包,需要点击两次。

绕过前端(新手版)完成!


之前抑郁了很久,感觉人间不值得啊~~,大过年的想这些挺可笑的,现在本人只能给大家拜个晚年了

祝大家在新的一年里:
往事清零,
活得开心,
家庭幸福,
和谐美满,
鼠鼠福福,
快快乐乐,
事业节节攀升!

二向箔技能包(新手入门)笔记----BurpSuite篇相关推荐

  1. Pytorch纯新手入门笔记

    Pytorch入门笔记(推荐配合B站up主我是土堆食用) PyTorch深度学习快速入门教程(绝对通俗易懂!)[小土堆] 视频作者:我是土堆 Pytorch入门 P1 命令行中对anaconda不同环 ...

  2. MicroPython开发ESP32入门笔记 -- 蓝牙篇

    文章目录 前言 一. ESP32 和 Micropython 简介 二.蓝牙模组通讯原理简介 三.手机端和ESP32蓝牙通讯 1. ESP32蓝牙呼吸灯代码 2. 手机端准备 总结 前言 博主之前学习 ...

  3. Tableau新手入门指南一篇搞定!

    如何入门Tableau? Tableau知识点checklist 从小白到入门 从入门到精通 Tableau新手入门课程推荐 官网资料 线上课程 书籍推荐 其他参考资料 最近在整理以前工作的一些资料. ...

  4. Datawhale 数据挖掘新手入门笔记 -Task5 模型融合

    文章目录 一.前言 二.模型融合目标 三.内容介绍 四.Stacking相关理论介绍 1.什么是stacking 2.如何进行stacking 3.Stacking的方法讲解 五.代码示例 1.回归\ ...

  5. python新手入门笔记_2020最新Python入门笔记

    Python变量和数据类型 数据类型 print语句 注释 Python的注释以 # 开头,后面的文字直到行尾都算注释 这里要注意注意:不管你是为了Python就业还是兴趣爱好,记住:项目开发经验永远 ...

  6. 正则表达式新手入门笔记(一)

    正则表达式 描述了一种字符串匹配的模式,可以用来检查一个串 是否含有某种子串. 将匹配的子串替换 或者从某个串中取出符合某个条件的子串等. 本章节就来写一下入门正则表达式的收获内容. 首先我们先从正则 ...

  7. slurm作业调度系统与天河二号的基本命令(新手入门, 以gs和vasp为例)

    本文地址            

  8. Mybatis-Plus 新手入门,一篇足以

    目录 一.MyBatis-Plus简介 1.简介 2.特性 3.支持数据库 4.框架结构 5.官方地址 二.入门案例 1.开发环境 2.建库建表 3.创建工程 4.配置编码 1.BaseMapper ...

  9. 后端小白的VUE入门笔记, 进阶篇

    使用 vue-cli( 脚手架) 搭建项目 基于vue-cli 创建一个模板项目 通过 npm root -g 可以查看vue全局安装目录,进而知道自己有没有安装vue-cli如果没有安装的话,使用如 ...

最新文章

  1. java集合框架史上最详解(list set 以及map)
  2. 配置GoldenGate源端Manager参数
  3. cgminer linux cpu,Ubuntu Kylin中编译运行cgminer挖矿软件
  4. Spark创建RDD的四种方式(一):从集合(内存)中创建 RDD代码示例
  5. php 图片透明,PHP怎么把一张图片透明化
  6. LVS(10)——实现多集群功能
  7. 论文工具 | 翻译神器
  8. Collections集合工具类的方法_sort(List,Comparator)
  9. linux文本工具总结,Linux 文本工具
  10. DNN结构演进History—CNN( 优化,LeNet, AlexNet )
  11. 配置环境_python虚拟环境的搭建
  12. linux内核被加载的过程
  13. QT5.1.0,QT4.8.0以及VC2010、VC2012的测试对比
  14. Tout= ((arr+1)*(psc+1))/Tclk公式理解汇总
  15. JAVASE基础模块三十四( 菜鸡版简单登录验证模块系统IO流文件写入)
  16. 小猿圈之初识python基础知识
  17. python行业中性_用Python分析指数: 11月16日热门指数Z值表
  18. zblog php getlist,zblog使用getlist方法调用置顶文章
  19. md5加密以及可逆的加密解密算法
  20. 量子力学顺口溜_数学的幽默打油诗

热门文章

  1. mysql设置远程访问。
  2. Windows 防火墙的入站和出站规则说明
  3. 临床试验中edc录入_临床试验中使用EDC的情况?
  4. 传统行业程序员的深度焦虑?——快来互联网行业吧!
  5. 捻深红尚透,谁信道、花亦通灵。多态
  6. 【CMS建站】写给大家看的网站制作教程03—零基础学网站制作的简单入门指南...
  7. java开发简单解释器,实现一个简单的解释器(5)
  8. c语言今天是星期天,今天是星期天作文400字
  9. 网易双11“超级工程”:反欺诈系统应用实践
  10. ABAP EWM模拟 /SCWM/ADGI过账更改HU数量