问题标签 [burp]

您好，我正在尝试制作“用于显示 Windows 更新历史记录的 Python 脚本”。我是 python 新手，无法找到有关 pywin32 模块的太多信息。如果有人有这方面的一些信息或示例，将不胜感激。

我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。ETC。，

我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。

我想对我指出的模块进行扫描、SQL 注入、XSS。

1）首先，我想确保值得进行扫描，因为客户端存在 html 和 js 文件，并且所有逻辑都在 Webapi 中。

2) 如何跨所有模块维护 HTTP 会话？

3) 我可以像soap UI 一样自动顺序运行吗？

我是网络渗透测试的新手。我有个问题。请建议

比如说，我有一个 https url，并且我已将所有 http 请求设置为通过 burp 代理配置访问。在一般情况下，如果我们从像 firefox 这样的客户端访问 url，我们知道我们可能会遇到多个域的安全异常，我们需要为每个域添加安全异常。一旦跨越安全异常，我们就可以访问url，并且可以通过burp访问用户名和密码（通过将intercept设置为ON）。

1）如果我们在为多个域添加安全例外后能够访问Web应用程序，那么是否意味着Web应用程序没有正确处理安全问题？

2）此外，像firefox这样的客户端或运行Web应用程序的服务器是否需要处理此类安全问题？

我正在开发 Burp 扩展并添加其他选项卡。我必须返回 java.awt.component，所以我决定 javax.swing.JPanel 会很好。它必须是我的选项卡上的 JLabel 和 JTextField，代码在这里：

我想要左上角的小文本和文本字段，但我的文本字段在我的所有屏幕上都拉伸了。我该怎么做才能修复它？也许我必须更改布局管理器？

您能否建议我如何拒绝 burp 套件拦截服务器对 Web 客户端的响应？

我无法理解请求。假设我有这个要求：

我应该如何使用这些信息使用 python 发送有效请求？我发现的东西并没有真正的帮助。我需要有人用我给你的数据给我看一个例子。

Burp Collaborator 如何通过 t-sql 和 Sql Server 发送 DNS 查询？

https://portswigger.net/burp/help/collaborator.html

我知道您可以使用例如exec master..xp_cmdshell 'nslookup intel.com'或Dns.GetHostAddresses()在 SQL Server 2005 或 2008 上的存储过程中使用，如此处所述：https ://stackoverflow.com/a/967696/3850405

然而，今天允许的服务器并不多xp_cmdshell，这是理所当然的，但这意味着 Burp Collaborator 使用了其他东西。什么？连接只需出站，无需返回任何内容。

我正在尝试在 OSX 上设置代理来拦截流量。我发现这样做的本机方法是使用pfctl并使用透明代理工具，如mitmproxy或Burp Suite。Mitmproxy 在他们的文档中有一章介绍如何使用 pfctl 设置 Mac，对于 Burp Suite，您可以找到此说明。但是，这些都没有显示 mitmproxy 或 burp 中的流量。

我的 /etc/pf.conf

和我的 /etc/pf.anchors/forwarding （en0 是我的工作 wifi 适配器）

我也在设置

这些命令可以正常工作而不会引发错误

这是另一个相关问题，但由于我在 Sierra，答案不适用于我。

我正在使用 Burp Suite 免费版来验证 Web 应用程序中的 PEN 测试。

我已将我的项目保存在本地并关闭了 Burp 套件。

我启动了 Burp 套件并尝试加载保存的项目，通过

项目未加载。

是否可以在免费版中加载保存的项目？

我是 burp 套件的新手，我已经完成了以下链接的第 11 步。 在此处输入链接描述

但我无法继续执行第 12 步，因为“主动扫描此分支”选项显示为灰色，使我无法继续本教程。

任何解决此问题的帮助将不胜感激，我将附上屏幕截图以给出一个总体思路，即我面临的问题。