问题标签 [burp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
packet - 无法使用 Burp Suite 解码 Instagram、Facebook HTTPS 数据包
根据标题,在我的 PC 上安装 burp 套件,在我的 iPhone 上安装 burp 套件认证。
我可以解码 HTTPS 数据包不包括大型公司应用程序,但我无法解码 HTTPS 数据包 Instagram 和 Facebook 应用程序。
我不知道为什么我不能解码这些大公司应用程序的数据包。它与'HPKP'有关系吗?
有没有如何解码 Instagram 或 Facebook 应用数据包的方法?以及如何实现这个架构?
java - 带有 Socks4Proxy 的 Jetty (9.2.13) HTTP 客户端挂起
我正在使用在后台运行的 Burp 代理服务器。我已将 cacert.der 插入到我的 Eclipse 指向的 java 信任库中。
现在我有以下代码:.................................................. ...................................
..................................................... …………………………………………………………………………………………………………
上面的代码给了我以下错误:
线程“主”java.util.concurrent.ExecutionException 中的异常:java.io.IOException:SOCKS4 隧道在 org.eclipse.jetty.client.util.FutureResponseListener.getResult(FutureResponseListener.java:118) 处的代码 84 失败。 eclipse.jetty.client.util.FutureResponseListener.get(FutureResponseListener.java:101) 在 org.eclipse.jetty.client.HttpRequest.send(HttpRequest.java:653) 在 Get.main(Get.java:43) .. ..................................................... …………………………………………………………………………………………………………………………
谁能建议我如何解决这个问题?
python - burp扩展如何拦截所有流量
我目前正在使用 python/jython 开发一个 burp 扩展。
我想要的结果是能够与 burp 的每个部分(更具体地说是入侵者)进行交互,并在 burp 发出的每个请求上替换一个标头,而不管 burp 的哪个部分发出请求。
为了争论,让我们说我希望修改的请求标头是“Accept-Language”,我希望将其值从 de 更改为 en。
我将如何做到这一点,重点是“每一个请求”,或者如果这太多了,那么只与“入侵者”请求进行交互将是一个很好的开始。
注意:我不想创建入侵者有效负载,我需要根据请求更改标头。
web-services - 需要有关使用 BURP 对 WS-Security SOAP 执行 Web 服务安全测试的指导
我们刚刚开始为 Web 应用程序使用 BURP。我们将 SOAP UI 用于 WS-Security SOAP Web 服务。我们计划使用 BURP 将安全测试扩展到 SOAP Web 服务。您能否就我们如何实现这一目标提供任何指导。谢谢
php - POSTMAN 中 cookie 的使用
我正在尝试使用邮递员登录网站。该网站是使用 PHP 完成的,我有它的用户名和密码。
我安装了 burp 来检查我们发布的内容以便登录,它显示以下内容:
但是,当我在 POSTMAN 中添加具有正确值的 3 个参数时,站点无法登录,并且我再次进入登录页面,这意味着我发送的信息有问题。
我怀疑这是 cookie,但是如何在 POSTMAN 中发送带有 Header 参数的 cookie?
尽管相同的 cookie 出现在 POSTMAN 的 cookie 部分中,如下所示。
编辑1:
我发布这个的原因是因为我想通过创建一个 PHP 脚本来将网页的内容保存为 CSV 格式,该脚本将通过这种格式的页面http://example.com/page.php?id=151等等http://example.com/page.php?id=152。
但是,如上所述,我的问题是身份验证,即使我有用户名和密码,我似乎也无法绕过登录页面。目前,我正在使用邮递员进行尝试,看看是否可行,因为如果可以,我将尝试用 PHP 对其进行编码,但它不起作用。
testing - ZAP 或 Burp Suite 中 Angular JS 应用程序的渗透测试
我正在努力测试 Angular JS 应用程序,有人可以为我提供参考以了解这一点,找不到任何东西。
我想攻击该应用程序,但似乎并非所有链接都被 Crawler 访问。
security - Burp 中的敏感数据暴露
我对安全测试知之甚少。我被分配使用 burp 免费版进行渗透测试。
当我开始使用 burp 套件时,在员工信息页面上,我看到请求以纯文本形式传递。我们可以将其视为敏感数据暴露吗?
谁能给我详细说明黑客如何使用这些信息?点击这里查看图片
security - ZAP 报告说 SQL 注入
我通过 ZAP 进行了扫描,它在报告中显示 SQL 注入,但是我无法手动重新生成它。有人可以指导我吗?
我试图在“邮递员”中发布相同的请求,但它说“请提供令牌”。点击这里查看图片图片
security - Burp 套件中的身份验证问题
我在 Burp Suite 中收到有关身份验证的警报。我已经遵循了 burp 套件支持站点中给出的建议,但它似乎不起作用。如何解决这个问题?如何查看正在通过但未通过身份验证的请求。
ios - 无法在 iOS 上调试特定的应用程序网络
我使用 Burp Suite 和 Charles 使用我的计算机作为代理来调试网络。它适用于每个应用程序并跟踪所有网络请求,但是有一个特定的应用程序,它的请求无论如何都不会显示,有人知道为什么吗?如果这是因为应用程序发出了 SOAP 请求,那么有没有办法跟踪它?