Burpsuite2021安装和基本使用
(jdk11.0可以 高版的的不行 低版本的也不行)
1、解压文件
2、修改burpsuite.bat文件
原先
修改后(注意--前面有个空格)
3、打开burpsuite.bat文件点击我接受
4、
5、选择手动激活
6、
7、安装成功
配置使用 burp配置https抓包方法
1、设置端口8081
2、以火狐为主
3、安装CA证书
访问
如果没有设置1和2 是不能访问下面这个页面的
4、点击下载
5、导入刚下载的证书
在HTTPS通信过程中,一个很重要的介质是CA证书,所以需要进行Burp Suite中CA证书的安装
基本使用
1、浏览器请求www.baidu.com,可以看到处于加载状态
操作1
正常访问
显示
加上代理后,修改一下
显示
操作2抓包app
1、首先设置网络,下面的一些都是自己适配器的网络
2、设置一个端口号,这里设置的8888
3、设置安卓模拟器的网络,按住不动,
4、
5、
面板按钮介绍
除了在访问历史里面存在访问记录,在target同样存在这个内容
选择以后点击一下空白地方将进行过滤
sessionid 有时候一个用户是固定不变的 在退出登录或者是关闭浏览器时会设置为false 这时候还用那个session还能登入 ,sessionid必须是短时间有效的,不能使用固定id。
判断用户id有时候返回值不同,可以查看返回值进行判断。
sessionid生成要使用公用算法,不要使用自己的算法。
sessionid生成不要使用登录时间生成hash
如果key是128,很可能是MD5,如果是160位很可能是SHA1,如果是256很可能是SHA256。
在对密码找回生成邮件中的链接时,不要对邮箱信息直接查对应的md5值
上一篇:
Java架构师技术进阶路线图