web安全系列3:http拦截

这是web安全系列第三篇,我们讲讲HTTP请求的拦截。关于http的内容请翻看我的上一篇文章。

首先,我们开始需要一个安装好的java环境,64位的。请自行安装和配置环境变量,如果遇到问题可以留言评论,我会考虑出一篇安装这些环境的。

紧接着我们需要Burp Suite Proxy软件,这是黑客常用的软件之一,是web黑客的首选武器!大家可以自行下载,也可以在某企鹅的绿色软件公众搜索非攻IT回复web安全,所有的软件都可以找到。如有问题可以评论反馈。

结合着安装包中的教程,我们下载后,研究一番(破解)后,大概看到的界面是下面这样的。


我们可以看到上方有一排选项卡,希望读者自行去了解这个软件,在这里,我们只会用到哪里讲到哪里,后期可能会出一个系列。

那么我们今天要用的是Proxy模块,即代理模块。下面一起看看。

首先,我们点选proxy选项卡,接着选择options,在proxy listeners模块会出现Add、Edit和Remove。选择Add,在Bind to port中输入端口号即是我们用来拦截的端口,尽量在4000之后,确保端口没有被启用。之后选择Loopback only,然后选择OK。

之后,我们就要在浏览器进行操作了。我们以chrome为例,在设置中找到高级,再找到打开代理设置。

在弹出的选项卡下点击局域网设置,之后按下图操作

其中,127.0.0.1代表本机,8081是刚刚设置的端口号(我的和你的可能不一样),之后一路确定加应用,这样我们的拦截就配置完成了。不信的话你随便输入一个网址打开,是不是很久都没有反应?

再回到BurpSuit,看看。选择proxy中的intercept,我们看到的就是那个网站发过来给我们的,只是没有通过浏览器组装成为漂亮的网页而已。如果想关闭拦截,我们即将intercept on点选成intercept off即可。

很多人会问通过拦截能够干什么,这学问就大了。很多人不知道黑客面对的是什么,其实很多时候就是这样一些http请求,我们通过分析网站的漏洞,改动这些拦截下来的信息就能够成功突破网站的防火墙,进入进入网站内部。

这些我们会在后面的章节进行介绍,同时,拦截软件不仅仅有我们介绍的这款,还有很多优秀的软件,你们可以自行查找学习,后面有机会我也会介绍一些。

如果上面有什么不对的地方欢迎指正。有什么不明白的也欢迎大家留言。

(以上软件和教程仅供学习交流使用,遵守法律人人有责!)

转载于:https://www.cnblogs.com/firmgo/p/10744994.html

你可能感兴趣的:(web安全系列3:http拦截)