攻防世界题目：cookie

题目：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？
拿到网站点开，发现这个

打开burpsuite，作为萌新当然要了解怎么用： https://www.cnblogs.com/nieliangcai/p/6692296.html（超详细，不懂英文的直接去看就懂了）

配置好浏览器和burpsuite代理后开抓（开抓前请先看看lntercept选项中的第三个是on而不是off）

发现这个

在原网站后面加上/cookie.php，发现跳转了

再抓一次（这里是萌新做法，其实只要把原网站forward后再加上cookie.php就会抓到了）

一直forward直到出来指定网页后，用response（响应包）

然后

新手踩雷区：

1.Q:抓包怎么抓不了啊？刷新网页burpsuite也没显示

A：没配置代理，把网站的代理设置成为127.0.0.1 8080（这个是burpsuite的默认，也可以不是8080）或者进入控制面板把系统设置成这个，浏览器设置成跟随系统设置就行

2.Q;为什么抓个包网页在一直转啊？也不返回请求

A:burpsuite的proxy功能就是如此，所以会一直打转（想不打转可以把上面提到过的on改为off，这样就看不了需要的信息了）。

3.Q:lntercept怎么找到自己需要的那个网站的信息啊？

A:foward（当你编辑信息之后，点击发送信息到服务器或浏览器）就是把拦截的信息放出去（一直打转的网页也会不打转）所以一直点foward直到出现你需要的网站即可（多尝试几次）

另外：刚开始burpsuite设置代理后访问网站不能访问https网站（因为有协议），需要手动加上协议后方可访问https协议的网站
方法：在打开burpsuite的情况下浏览器访问http://burp（因为是http网站所以能够访问）随后点击这个

下载好之后，从浏览器设置中找到查看证书选项（火狐）

其他的浏览器去安全这一项翻一翻应该能翻到

然后找到证书颁发机构这一项找有没有portswigger ca这一个证书（理论上没有，如果有先移除）

然后点击个人，点击导入，把你刚才下好的东西导入进去（勾选第一个 This … web sites）

这样就可以在开启burpsuite同时访问https网站了

如有错误，还请指出