背景介绍

从微信6.0开始,其内嵌的浏览器在User Agent字符串中增加了NetType字段用于标识客户端(手机)当前的网络环境,增加之后真的安全吗?

User-Agent(用户代理)字符串是Web浏览器用于声明自身型号版本并随HTTP请求发送给Web服务器的字符串,在Web服务器上可以获取到该字符串。

实训目标

1、User-Agent的理解
2、微信浏览器内嵌新增取值内容
3、使用BurpSuite工具修改内容

解题方向

根据页面提示,抓包分析除了判断浏览器类型还判断了微信特有的NetType

BurpSuite抓包
百度:NetType iPhone 5 / iOS 8.0 / 2G

Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G

替换BurpSuite抓到的用户代理(User-Agent)

背景介绍

在访问一个网页时,提示只能通过另一个页面跳转的方式访问,这该如何办?

Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

实训目标

1、了解浏览器的使用;
2、了解数据包的发送;
3、了解抓包工具的使用,能够进行抓包改包,如burpsuite等;
(掌握:达到能够独立完成使用的程度
了解:达到知晓其作用的程度不要求熟练运用)

解题方向

充分理解题目,referer伪造!



BurpSuite更改来源(Referer):http://google.com

背景介绍

对一企业办公系统的源代码进行授权检测,在检查过程中,发现程序员(可能是临时工)使用PHP程序,处理服务端接收客户端传递的数据时,使用的是$_REQUEST[],前端使用的是GET方式,然后就遇到问题了"Request-URI Too Long"。

$_GET 变量接受所有以 get 方式发送的请求,及浏览器地址栏中的 ? 之后的内容。
$_POST 变量接受所有以 post 方式发送的请求,例如,一个 form 以 method=post 提交,提交后 php 会处理 post 过来的全部变量。
$_REQUEST 支持两种方式发送过来的请求,即 post 和 get 它都可以接受,显示不显示要看传递方法,get 会显示在 url 中(有字符数限制),post 不会在 url 中显示,可以传递任意多的数据(只要服务器支持)。

GET把参数包含在URL中,POST通过request body传递参数。
对于GET方式的请求,浏览器会把http header和data一并发送出去,服务器响应200(返回数据);
而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)。

实训目标

1、掌握在浏览器发送数据时、GET、POST两者方式的差异;
2、理解在PHP程序中

     REQUEST、_REQUEST、</span><span class="katex-html"><span class="base"><span class="strut" style="height: 0.87777em; vertical-align: -0.19444em;"></span><span class="mord"><span class=""></span><span class="msupsub"><span class="vlist-t vlist-t2"><span class="vlist-r"><span class="vlist" style="height: 0.328331em;"><span class="" style="top: -2.55em; margin-right: 0.05em;"><span class="pstrut" style="height: 2.7em;"></span><span class="sizing reset-size6 size3 mtight"><span style="margin-right: 0.00773em;" class="mord mathdefault mtight">R</span></span></span></span><span class="vlist-s">​</span></span><span class="vlist-r"><span class="vlist" style="height: 0.15em;"><span class=""></span></span></span></span></span></span><span style="margin-right: 0.05764em;" class="mord mathdefault">E</span><span class="mord mathdefault">Q</span><span style="margin-right: 0.10903em;" class="mord mathdefault">U</span><span style="margin-right: 0.05764em;" class="mord mathdefault">E</span><span style="margin-right: 0.05764em;" class="mord mathdefault">S</span><span style="margin-right: 0.13889em;" class="mord mathdefault">T</span><span class="mord cjk_fallback">、</span></span></span></span></span>_GET、$_POST三者之间的区别;<br> 3、了解不同浏览器通过GET方式传递数据时,限制数据长度的大小;</p>


http://www.taodudu.cc/news/show-1427835.html

相关文章:

  • 邮件传输的过程
  • 一文了解网络
  • 一文读懂cooie和session
  • SQL注入基础原理
  • 常见弱口令
  • 渗透测试思路详解
  • VMware vSphere 入门学习笔记
  • 组播基础教程
  • Super VLAN
  • GRE over IPSec 隧道配置案例
  • IPSec隧道配置案例(手动模式)
  • GRE 隧道配置案例(静态、动态路由)
  • SNMP实现交换机的信息采集——MIB
  • eNSP中AC用Web方式登录
  • 种子度量值
  • 路由技术——OSPF
  • eNSP检测不到网卡信息——WinPacp
  • Filter-Policy
  • 华为eNSP最稳定的装法
  • OSPF中的次优外部路由——Forwarding Address
  • 通过Web方式登录USG6000V
  • GVRP、VCMP、VTP、DTP——全网最完整的总结
  • 全国大学校园网—拓扑图欣赏
  • OSPF路由协议基础(OSPF基本配置)
  • 解决微信0day上线CobaltStike的几个问题
  • Chrome三天内的第二枚0Day
  • 从CTF比赛真题中学习压缩包伪加密与图片隐写术
  • 【防守方基础】危险报文识别
  • 30余种加密编码类型的密文特征分析
  • 网络安全相关行业必备网站

BurpSuite使用——HTTP相关推荐

  1. 经验分享 | Burpsuite抓取非HTTP流量

    使用Burp对安卓应用进行渗透测试的过程中,有时候会遇到某些流量无法拦截的情况,这些流量可能不是HTTP协议的,或者是"比较特殊"的HTTP协议(以下统称非HTTP流量).遇到这种 ...

  2. JAVA逆向反混淆-追查Burpsuite的破解原理(转)

    0x00 摘要: 本系列文章通过对BurpLoader的几个版本的逆向分析,分析Burpsuite的破解原理,分析Burpsuite认证体系存在的安全漏洞. 0x01 JD-GUI的用途与缺陷: JD ...

  3. burpsuite 设置https_新手教程:如何使用Burpsuite抓取手机APP的HTTPS数据

    * 本文原创作者:smartdone,本文属FreeBuf原创奖励计划,未经许可禁止转载 1.所需条件· 手机已经获取root权限 · 手机已经成功安装xposed框架 · 电脑一台 2.详细步骤 2 ...

  4. Burpsuite学习(4)

    burpsuite spider模块通过跟踪 HTML 和 JavaScript 以及提交的表单中的超链接来映射目标应用程序,它还使用了一些其他的线索,如目录列表,资源类型的注释,以及 robots. ...

  5. BurpSuite实例教程讲解

    很久以前就看到了Burp suite这个工具了,当时感觉好NB,但全英文的用起来很是蛋疼,网上也没找到什么教程,就把这事给忘了.今天准备开始好好学习这个渗透神器,也正好给大家分享下.(注:内容大部分是 ...

  6. BurpSuite日志分析过滤工具,加快SqlMap进行批量扫描的速度

    BurpLogFilter 一个python3写的,用于过滤BurpSuite日志的小程序 A python3 program to filter BurpSuite log file. WHY? 为 ...

  7. BurpSuite的使用总结

    BurpSuite BurpSuite 是一款使用Java编写的,用于Web安全审计与扫描套件.它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以 互相协作,在B ...

  8. burpsuite collaborato模块简介 dns log、http_https log、smtp_smtps log

    Burp suite Pro自从v1.6.15版本开始引入了一种名为Burp Collaborator的模块,该模块的作用简单的说就是集合了DNS log, http_https log和smtp_s ...

  9. burpsuite 实战指南

    目录 第一章 Burp Suite 安装和环境配置 如何从命令行启动Burp Suite 如何设置JVM内存 大小 IPv6问题调试 第二章 Burp Suite代理和浏览器设置 Burp Suite ...

  10. Burpsuite+SQLMAP绕过Token保护(Burpsuite Macros应用)

    0×00 带有token 保护的应用 有这样的一个应用(自己写的一个, 后面会附上代码),你手动去注入的时候,发现是有注入点的 加上一个单引号,报错了 确实是有注入 但是用sqlmap跑的时候却没有 ...

最新文章

  1. Asp.Net Core在线生成二维码
  2. 英特尔5G基带发布时间提前半年以上,但2019款iPhone支持5G仍有点悬
  3. 中国农民丰收节交易会新闻发布会倡导功能农业·农业大健康
  4. 6.Python标准库_子进程 (subprocess包)
  5. 【Luogu】P1896互不侵犯King(状压DP)
  6. 批量删除Marketing Cloud里的contact
  7. Android之添加固定图标到桌面
  8. MySQL基础操作(一)
  9. 谁说IT男没有审美?怀揣5000元巨款,我们这样改变生活
  10. leetCode:reverseInteger 反向整数 【JAVA实现】
  11. mybatis利用mapper代理的方法实现多条件查询
  12. linux qt编译器设置,Qt使用教程:添加编译器(一)
  13. 软件开发流程知识概括
  14. 删除用户账户|win7系统怎么删除用户账户
  15. qq能上网浏览器不可以
  16. win7桌面背景_解决WIN7桌面背景无法更改的问题
  17. java中finish什么意思,finish是什么意思(你知道Finish 和 Complete 的区别吗?)
  18. Error starting Tomcat context. Exception
  19. mini.DataGrid使用说明
  20. Surface Go使用体验——一文告诉你我为什么没有选择iPad

热门文章

  1. 一台服务器多个tomcat运行
  2. 项目练习(二)—微博数据结构化
  3. linux下编程epoll实现将GPS定位信息上报到服务器
  4. ubuntu下mysql整个数据库备份与还原
  5. 【数据结构】——排序二叉树
  6. 在.NET 3.5 平台上使用LINQ to SQL创建三层/多层Web应用系统(源代码下载和PDF文档下载)...
  7. 程序员喝酒文化 (转贴)
  8. AndroidStudio_在android中使用定时器_异步定时实现心跳保活功能---Android原生开发工作笔记231
  9. 大数据之-Hadoop完全分布式_集群时间同步---大数据之hadoop工作笔记0043
  10. System学习笔记005---如何查看远程的一台电脑的某个端口有没有打开_centos查看某个端口是否打开