问题标签 [burp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 如何防止打开经过身份验证的 php 网页?
我有管理页面。如果用户仅使用正确的凭据登录管理员,我需要允许用户访问管理员页面。我已经在所有管理页面中使用会话变量检查用户是否已登录。
但仍然通过 burp suite 之类的工具,通过将响应代码从 300 更改为 200,并且能够在不登录管理员的情况下打开管理页面。
请告诉我如何防止用户在未登录的情况下查看经过身份验证的页面。
regex - Grep Extract - 从图像源中提取文本值
我正在尝试从我的 HTML 源代码中提取一个值并将其用作 Grep 提取。
使用 Burp Suite 的“Grep - Extract”,我如何提取以下文本值(在这种情况下,文本是 hello,但它每次都会更改,我希望能够提取 text= 的值)?
在开始和结束时定义?或从正则表达式组中提取?
我似乎无法让它工作。
proxy - ZAP 和 BURP 之间的证书
我的浏览器上同时拥有来自 ZAP 和 BURP 的证书,并且我可以通过 SSL 网站浏览每个代理都没有问题。
现在,我使用 BURP 作为端口 9090 上的本地代理,并将流量从 BURP 重定向到 ZAP(侦听端口 8080)。
浏览非 SSL 网站时,一切正常,我在 BURP 中捕获流量并将其重定向到 ZAP,但是当我访问 SSL 网站时,会弹出一条不受信任的消息。
到底是怎么回事?我是否必须导出 BURP 证书并将其导入 ZAP(这没有意义,因为 ZAP 信任自签名证书)
如果有人遇到同样的问题并且可以对此有所了解并解决问题,我将非常感激。
先感谢您!
security - BurpSuite API - 从编辑的请求中获取响应
我对 Burpsuite API 有一个问题,我找不到合适的函数来打印已编辑请求的响应。我正在使用 python 为 burpsuite 开发一个新插件。myscript 只是从代理接收请求,然后编辑标题并再次发送。
从打嗝导入 IBurpExtender 从打嗝导入 IHttpListener
导入重新,urllib2
BurpExtender 类(IBurpExtender,IHttpListener):
java - Burp Suite 错误“收到致命警报:handshake_failure”
在为给定站点使用 Burp 代理时,我收到上述错误并且没有显示任何响应。
谁可以帮我这个事?
android - 将 BURP SUITE 证书导入安卓模拟器
我在从 android 模拟器拦截 Burp(拦截工具)中的 HTTPS 请求时遇到问题,
我成功地在android模拟器中通过BURP拦截HTTP(不是HTTPS)请求,我看了很多教程,首先在firefox中从BURP中获取.cert证书,然后将其转换为android支持格式并将其复制到android系统。
这是我面临的确切问题: 1. 我无法转换 SSL 证书。2.我尝试复制一个虚拟证书只是为了测试复制粘贴是否正常,我得到错误权限错误,我也尝试运行命令,“adb shell”并运行该命令 adb push 但仍然有问题定义转换后的证书路径的路径,因为我的证书在主机上。
希望这两个问题的解决方案,如果有人能给我转换 SSL 证书所需的确切命令,那也会很有帮助。
谢谢
directory - HoneyProxy 的替代品(将请求转储到类似结构的目录中)?
我正在寻找一个能够将请求转储到类似结构的目录中的 HTTP/HTTPS 代理。例如,如果我请求 example.com/path/example.html,example.html 将存储在我本地磁盘的 somedir/example.com/path/example.html 中。我知道 Honeyproxy 提供了这个功能,但它有一个错误,目前不适用于我的代码。其他 HTTP/HTTPS 代理,如 mite、burp、node-mitm-proxy ……只转储流量本身,不给我们请求的目录结构。那么,您能否向我推荐任何其他具有此功能的代理?
facebook - google 或 facebook 如何知道我在中间代理的背后?
每当我在中间代理(例如 burp)后面,并尝试访问 google 或 facebook 时,我都会收到一条警告消息,告诉我连接不可靠并阻止页面显示。
我猜它与安全证书有关。但是他们怎么知道不信任连接呢?
asp.net - 对 asp.net webresource.axd 文件上的开放重定向(基于 DOM)问题的任何修复?
当我使用 Burp Scanner Tool 扫描 ASP.NET 应用程序时,我在 asp.net webresource.axd 文件中遇到了“打开重定向(基于 DOM)”问题。请让我知道是否有人遇到过同样的问题,或者如果您有任何想法或解决方法可以解决此问题。
问题详情如下:
问题详细信息 应用程序可能容易受到基于 DOM 的开放重定向的攻击。通过以下语句从 document.location.pathname 读取数据并写入 XMLHttpRequest 对象的 open() 函数:
java - Jython JTable PrepareRenderer 运行时错误最大递归深度
我一直在使用 Jython 库开发 Burp Suite 扩展。我对使用 Java Swing 和 JTables 还很陌生。我一直在尝试调试这个错误很长一段时间。不确定是什么问题。我相当确定我正确地调用了对象和方法。
这是有问题的代码片段:
当我导航到扩展中的相关选项卡时出现的错误是:RuntimeError: maximum recursion depth exceeded (Java StackOverflowError)
错误发生在最后一行,它永远不会过去。它一次又一次地递归调用 prepareRenderer 方法。
任何帮助将不胜感激,我可以提供帮助调试此问题所需的任何信息。