今天公司突然出来了一份漏洞修复清单,我一看又是这些sql注入,或是绕过前端,直接向后台发起请求,从而可以侵入系统的漏洞。
我们这里用的就是 BurpSuite 这个来进行请求,从而达到注入系统,破解系统的目的,上篇文章,我们已经对 burpsuite 这个软件说明了安装。
那这这节课,我们就简单来讲一下这个软件代理的使用,这个功能,可以用来拦截请求的发送,串改报文,从而达到入侵系统。
也可以达到我们的目的,就是测试出系统哪个地方有漏洞之类的,以便我们更好的预防跟解决系统的漏洞。
接下来,如图所示:
从上边两张图来看,是非常简单的,我们这里只要简单设置好这个代理地址,还有端口。
(这里要记住端口,不能被其他程序占用)
接下来,我们设置好浏览器的代理就可以了,如下图:
这样,我们就完成了,代理的拦截设置,只要你一打开网站,然后拦截需求打开,就可以拦截这个网站的请求了。
当然我们这里并不是要强调这个过程,而是我们在配置过程中所遇到的问题,接下来,我们就来看看,刚才说的,端口被占用的问题。
如下图所示:
那我们就会出现无法连接到这个网站,一打开代理的时候,我们就无法连接。那这个问题,一般就是我们代理的设置问题了,不是burpsuite软件的问题。
接下来,我就把实际经历告诉大家,这里主要就是端口被占用了,导致,一打开代理就无法打开任何一个网站(我们不需要开拦截功能)。
把所有可能占用端口的程序或服务直接关停就可以了,然后我们就可以正常访问网站的情况下,我们就可以正常使用拦截功能了。
如果还遇到如下问题:
那这里又怎么办呢?
这是因为我们还没有添加这个 burp suite 这个安全证书,导致浏览器不信任这个网站。那我们这里可以导出最新的证书,然后添加到浏览器中,来解决问题。
如下图所示:
按上边的步骤,将安全证书导入到浏览器,最后记住,一定要重启浏览器,这操作才能生效。
到了这个地方,我使用 brup suite 所遇到的问题,就全部解决了,这样子,我们就可以正常使用该软件的拦截功能,从而更好的服务,我们检测软件的漏洞。
以上是自己的做为资深开发的一些个人经历,把这些经验分享给大家,希望以后大家在从事开发中,可以避免不必要的麻烦,跟浪费时间精力。
要是大家喜欢我的文章的话,可以在文章下留言或是联系我,共同进步,共同探讨开发的一些案例,促进彼此间的交流,分享一些日常的开发趣事。
共有 0 条评论