问题标签 [burp]

1) 是否可以使用 burp suite/ZAP 或任何其他 Web 测试工具来确定应用程序是否正在调用 Web 服务？

2) 由于 SOAP Web 服务以 XML 形式回复，是否也可以查看
HTML 请求的响应以区分使用 REST Web 服务？

谢谢

我正在尝试代理任何 https 连接，并且在警报部分中有此消息：

没有路由主机 错误

打嗝证书添加

我试图解决它，重新安装 burp，重新安装证书，设置手动网络配置。

有人知道如何解决这个问题吗？

我尝试使用 Burp 套件为特定域模拟上述内容。我是这方面的初学者，不知道如何设置。我找不到这个的内置选项。

另外，如果没有选项，我是否需要将请求转发到某个随机 IP 地址以使连接超时？

更新

实际上，我怀疑重定向到某些无效 IP 是否会导致连接超时。还是会超时？我只想知道如果服务器关闭我会得到什么响应。

我在使用 google chrome 在我的 macbook 上设置 burp 套件时遇到问题。我遵循了官方网站上的所有指南，我的设置如下所示：

但是当我访问网站时，我在程序中代理下的拦截选项卡中看不到任何请求/响应。为什么不？

JSON响应正文：-

我需要将上面 JSON 响应中 field3 的特定值替换为其他值，例如 valueX

尝试 Burpsuite > 代理 > 选项 > 匹配和替换

启用：真

项目：响应正文

匹配：^"field3":value3$

代替："field3":valueX"

类型：正则表达式

预期的 JSON

谢谢

在我们的 Web 应用程序上运行 Burp 安全套件后，我在一个页面中遇到了一个类似“外部服务交互”的问题，其中有一个用于获取电子邮件地址的文本框。把它想象成邀请其他人访问我们的网站。

该页面应该向用户输入的地址发送电子邮件，因此服务器将解析电子邮件地址中的域名，如 gmail.com、hotmail.com 等。

Burp Suite 说，这可以用作攻击代理。我们有机制来阻止对我们网站的 DDoS 攻击，从而减少我们网站上的攻击面。

还有哪些其他类型的攻击是可能的，我们应该部署哪些预防机制？

我正在从 iPad 测试一个应用程序并使用 Burpsuite 来捕获流量。但是，在这种情况下，我无法捕获该应用程序的以下请求：

1. 登录请求
2. 两因素身份验证请求
3. 应用程序中的视频搜索请求
4. 应用程序中的视频播放请求

如何捕获上述请求？

（注意：我能够捕获该应用程序的一些简单的 GET 和 POST 请求。）

我正在尝试读取从 Android 设备发送的数据包的内容以及 Burp 可以检测到 Gzip 压缩的一些数据包，它会显示内容，但是我经常看到包含此​​信息的数据包，并且 Burp 无法解码或无法解码t 检测压缩。我怎样才能看到这个压缩包内容的内容？

以下来自 Android 手机，我怀疑制造商正在通过手机的活动向总部收集/监视其用户，我很想知道它收集了哪些信息。任何帮助表示赞赏。我尝试将压缩部分复制并粘贴到文件中，然后使用解压缩软件进行解压缩：) 它没有用。

例如这个数据包：

我正在尝试配置 BURP 工具。以下是我做过的事情：

1）使用tomcat端口号运行Web应用程序：8080，2）在tomcat中将网络更改为代理127.0.0.1:8080，并在权限中安装了burp证书3）在burp工具中，代理->选项->拦截正在运行。

当我尝试运行我的应用程序时，我收到以下错误消息。

收到无效的客户端请求：丢弃的请求循环回相同的代理侦听器。

有人可以帮我吗？提前致谢！！

我正在寻找一种方法来在我正在开发的 iOS 应用程序和我拥有的服务器之间执行网络跟踪，使用我的 mac 拦截流量。流量通过 SSL 加密；我拥有该域，以及用于加密流量的 PKCS12 证书。

我已经能够按照 Apple 的指南 ( https://developer.apple.com/library/content/qa/qa1176/_index.html ) 自行执行跟踪，并查看加密的 SSL 交换。然而，我似乎无法解密数据包内容，即使遵循此处描述的指南（https://support.citrix.com/article/CTX116557）也是如此。

我们在代码中使用了基本的 URLSession 实现（不涉及 Alamofire）。

我们过去设法使用 ZAP 工作，但由于最近增加了安全措施，这不再工作了。Burp 也没有成功。

任何关于使用哪些工具或如何配置项目的建议将不胜感激。