BurpSuite使用——HTTP

背景介绍

从微信6.0开始,其内嵌的浏览器在User Agent字符串中增加了NetType字段用于标识客户端(手机)当前的网络环境,增加之后真的安全吗?

User-Agent(用户代理)字符串是Web浏览器用于声明自身型号版本并随HTTP请求发送给Web服务器的字符串,在Web服务器上可以获取到该字符串。

实训目标

1、User-Agent的理解
2、微信浏览器内嵌新增取值内容
3、使用BurpSuite工具修改内容

解题方向

根据页面提示,抓包分析除了判断浏览器类型还判断了微信特有的NetType
BurpSuite使用——HTTP_第1张图片
BurpSuite使用——HTTP_第2张图片BurpSuite抓包
BurpSuite使用——HTTP_第3张图片百度:NetType iPhone 5 / iOS 8.0 / 2G

Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0 NetType/2G

替换BurpSuite抓到的用户代理(User-Agent)
BurpSuite使用——HTTP_第4张图片

背景介绍

在访问一个网页时,提示只能通过另一个页面跳转的方式访问,这该如何办?

Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

实训目标

1、了解浏览器的使用;
2、了解数据包的发送;
3、了解抓包工具的使用,能够进行抓包改包,如burpsuite等;
(掌握:达到能够独立完成使用的程度
了解:达到知晓其作用的程度不要求熟练运用)

解题方向

充分理解题目,referer伪造!
BurpSuite使用——HTTP_第5张图片

BurpSuite使用——HTTP_第6张图片
BurpSuite使用——HTTP_第7张图片
BurpSuite更改来源(Referer):http://google.com
BurpSuite使用——HTTP_第8张图片

背景介绍

对一企业办公系统的源代码进行授权检测,在检查过程中,发现程序员(可能是临时工)使用PHP程序,处理服务端接收客户端传递的数据时,使用的是$_REQUEST[],前端使用的是GET方式,然后就遇到问题了"Request-URI Too Long"。

$_GET 变量接受所有以 get 方式发送的请求,及浏览器地址栏中的 ? 之后的内容。
$_POST 变量接受所有以 post 方式发送的请求,例如,一个 form 以 method=post 提交,提交后 php 会处理 post 过来的全部变量。
$_REQUEST 支持两种方式发送过来的请求,即 post 和 get 它都可以接受,显示不显示要看传递方法,get 会显示在 url 中(有字符数限制),post 不会在 url 中显示,可以传递任意多的数据(只要服务器支持)。

GET把参数包含在URL中,POST通过request body传递参数。
对于GET方式的请求,浏览器会把http header和data一并发送出去,服务器响应200(返回数据);
而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)。

实训目标

1、掌握在浏览器发送数据时、GET、POST两者方式的差异;
2、理解在PHP程序中 R E Q U E S T 、 _REQUEST、 REQUEST_GET、$_POST三者之间的区别;
3、了解不同浏览器通过GET方式传递数据时,限制数据长度的大小;

解题方向

通过POST方式提交"content"数据内容,查看服务端返回的结果。

BurpSuite使用——HTTP_第9张图片BurpSuite使用——HTTP_第10张图片BurpSuite更改POST方式通过request body传递参数。
BurpSuite使用——HTTP_第11张图片
BurpSuite使用——HTTP_第12张图片

BurpSuite使用——HTTP_第13张图片BurpSuite使用——HTTP_第14张图片

你可能感兴趣的:(Net-Security,BurpSuite,网络安全)