问题标签 [burp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
authentication - 配置 Burp Suite 以拦截 Web 浏览器和代理服务器之间的数据
我需要配置 Burp Suite 来拦截 Web 浏览器和代理服务器之间的数据。代理服务器在每个会话中首次连接时需要基本身份验证(用户名和密码)。我尝试了 Burp Suite 中的“重定向到主机”选项(在字段中输入了代理服务器地址和端口):
代理 >> 选项 >> 代理侦听器 >> 请求处理
但我看不到使用连接到此代理服务器时所需的身份验证的选项。
访问 google.com 时,请求标头为:
回应是:
burp - Burp Suite:如何破解这个 URL?
我正在尝试在网络安全课程中进行黑客练习。但是,我坚持理解如何使用 Burp Suite。
这是原始数据:
这是标头 - 如何编辑标头以包含一些 bash 命令注入以访问以下 URL?
我试图破解的IP地址是:134.219.148.11.61166
当我打破它时,我会得到一个新的IP地址。
下面是页面的源代码。
http - 是否有 BurpSuit 替代方案允许 MITM 不仅可以在浏览器上执行,还可以在任何本地端口随机生成的程序上执行?
最近我在最流行的软件中遇到了一个0day,我们就说“娱乐”行业,可以通过MITM实现远程代码执行。
通常,我使用 Burp 来完成 MITM。但这是一个客户端程序,它产生随机的本地端口以向其服务器发送 HTTP 请求。由于端口是随机的,Burp 代理无法将流量引导到其侦听器,因为 Burp 需要将预定义的代理端口绑定到 Firefox/Chrome
(我上面提到的软件不是浏览器,尽管它促进了某些行为,因此将其配置为使用代理基本上是不可能的)。
那么,是否有任何替代程序可以充当代理,同时提供与 Burp 类似的实时功能?
proxy - Burp Suite 可以使用 SOCKS 4 上游代理吗?
我正在尝试使用 Burp Suite Pro 通过 SOCKS 4 代理(Cobalt Strike)扫描 Web 应用程序。但是当我尝试时,代理服务器会重置 TCP 连接。
所以我解雇了 wireshark 来检查两者之间发生了什么,我看到 Burp Suite 正在使用SOCKS 版本 5连接到我的SOCKS 版本 4代理。
有没有办法告诉 Burp Suite 使用 SOCKS 4 而不是 5?
谢谢
facebook - 暴力破解验证码解决方案
众所周知,Facebook 上最近有一个漏洞被印度开发人员利用,如此处所述。
2016年的蛮力很奇怪,Facebook在输入手机代码时应用速率限制,为什么他们不使用CAPTCHAS?
添加验证码不是可以避免问题吗?
谢谢
angularjs - Angularjs 和打嗝套件
我的一位客户说他可以使用 burp 套件查看 html 和 javascript。我们在客户端和服务器端使用了 angularjs,我们使用了 webapi。
他说他不应该在 html 页面中看到敏感数据。我可以知道什么是解决方案。
javascript - 使用 Burp 修改 javascript,如果 js 在单独的文件中,但在相同的 HTTP 响应中加载
我正在使用 Burp 来拦截和修改服务器响应。响应消息中包含 html<script>元素。像这样的东西:
由于这是在 html 响应中,我无权实际查看和修改 real.js 脚本,因为点击"Forward"允许执行此 js 脚本。如何real.js使用 Burp 检查脚本?
android - 在 OS X 更新后,NTLMaps 无法用于共享 Wifi 到 Burpsuite
所以我曾经使用这个版本的NTLMaps从我的 Mac 代理共享 Wifi,并将其重定向到 Burpsuite,以便在模拟器之外进行 Native App 测试。您可以通过将 server.cfg 设置为“PARENT_PROXY:127.0.0.1”、“PARENT_PROXY_PORT:8080”和“ALLOW_EXTERNAL_CLIENTS:1”来实现此目的。
但是在更新到 OS X 10.11.5 后,程序正在运行,但代理的互联网流量没有达到 burpsuite。
第 1 部分:所以我更新到这个版本,但这给了我这个错误,“错误:必须设置 NT DOMAIN。” 我可以在服务器配置中找到 NT 域,但我不知道在 mac 上哪里可以找到此信息(或者我需要 burpsuite?)。没有网络人可以使用任何帮助来查找此信息。
第 2 部分:即使我可以正常工作,它也可能无法解决 OS X 上的问题(如果有人在 OS X10.11.5 上并且这仍然有效,请告诉我,几天前工作但可能与自定义有关升级前的设置)。有没有人有更好的方法通过 burp 或 charles(不使用模拟器或更改应用程序)代理真实设备的本地应用程序流量?或者是否有人在 OS X 10.11.5 上使用这种类型的设置?我只是回滚,但我的办公室可能会非常严格地保持最新状态,因此这不能作为长期解决方案。
java - Bing API 未在 Burp Suite 中提供子域的输出(遵循 Blackhat Python)
我已将 bhp_bing.py 链接为 Burp Suite 中的扩展。但是我的 Burp Suite 没有给出目标站点子域的输出。 假定的结果
但是我的停止在“执行 bing search*****”,我检查了错误日志,它显示了这个:
java.lang.RuntimeException:扩展不应在 swing 事件调度线程中发出 HTTP 请求
这是 bhp_bing.py 的源代码:
https://github.com/walchko/Black-Hat-Python/blob/master/BHP-Code/Chapter6/bhp_bing.py
任何人都可以帮助我吗?非常感谢:)
localhost - 如何在 Internet Explorer 中使用 Burp 拦截本地服务器 Web 请求
我已正确配置Burp以在代理位置拦截
- 127.0.0.1:9090
我的 Internet Explorer 代理设置如下:
我还有一个名为 WebGoat 的网络服务器在http://localhost:8080/WebGoat/中运行
Burp 不会以任何方式拦截所有请求。
我应该怎么办?