这是web安全系列第三篇,我们讲讲HTTP请求的拦截。关于http的内容请翻看我的上一篇文章。
首先,我们开始需要一个安装好的java环境,64位的。请自行安装和配置环境变量,如果遇到问题可以留言评论,我会考虑出一篇安装这些环境的。
紧接着我们需要Burp Suite Proxy软件,这是黑客常用的软件之一,是web黑客的首选武器!大家可以自行下载,也可以在某企鹅的绿色软件公众搜索非攻IT回复web安全,所有的软件都可以找到。如有问题可以评论反馈。
结合着安装包中的教程,我们下载后,研究一番(破解)后,大概看到的界面是下面这样的。
我们可以看到上方有一排选项卡,希望读者自行去了解这个软件,在这里,我们只会用到哪里讲到哪里,后期可能会出一个系列。
那么我们今天要用的是Proxy模块,即代理模块。下面一起看看。
首先,我们点选proxy选项卡,接着选择options,在proxy listeners模块会出现Add、Edit和Remove。选择Add,在Bind to port中输入端口号即是我们用来拦截的端口,尽量在4000之后,确保端口没有被启用。之后选择Loopback only,然后选择OK。
之后,我们就要在浏览器进行操作了。我们以chrome为例,在设置中找到高级,再找到打开代理设置。
在弹出的选项卡下点击局域网设置,之后按下图操作
其中,127.0.0.1代表本机,8081是刚刚设置的端口号(我的和你的可能不一样),之后一路确定加应用,这样我们的拦截就配置完成了。不信的话你随便输入一个网址打开,是不是很久都没有反应?
再回到BurpSuit,看看。选择proxy中的intercept,我们看到的就是那个网站发过来给我们的,只是没有通过浏览器组装成为漂亮的网页而已。如果想关闭拦截,我们即将intercept on点选成intercept off即可。
很多人会问通过拦截能够干什么,这学问就大了。很多人不知道黑客面对的是什么,其实很多时候就是这样一些http请求,我们通过分析网站的漏洞,改动这些拦截下来的信息就能够成功突破网站的防火墙,进入进入网站内部。
这些我们会在后面的章节进行介绍,同时,拦截软件不仅仅有我们介绍的这款,还有很多优秀的软件,你们可以自行查找学习,后面有机会我也会介绍一些。
如果上面有什么不对的地方欢迎指正。有什么不明白的也欢迎大家留言。
(以上软件和教程仅供学习交流使用,遵守法律人人有责!)