用了那么久BurpSuite,才知道有Session Handling Rules(会话处理规则)这么个功能可以绕过CSRF_Token,以前都是想着写插件或者Python脚本来绕过。
既然学到了,那就写个博客记录一下,还是蛮简单的。
内容比较多,这里简单说一下主要有两点:
- 配置一个宏,通过正则等方式自动获取页面表单中的Token值。
- 配置一个会话处理规则,选择刚刚的配置的宏,根据自定义的配置使宏在不同的URL和工具中生效,自动替换指定的参数内容。
1月 2019
问题
用BurpSuite测试手机APP的时候,一些走HTTPS协议的包总是会响应很慢,甚至超时。
如何解决
搜索了一番后发现使用类似的抓包软件:Fiddler 在抓HTTPS包时不会出现响应慢的问题。
阅读更多 »解决BurpSuite抓APP包超时速度慢的问题解决BurpSuite抓APP包超时速度慢的问题
Seay使用C#编写的Layer子域名扫描工具,自带超大字典。
下载地址:
链接:https://pan.baidu.com/s/1_aELDfI125_uYFAYKEEWaA
阅读更多 »渗透测试工具 – 子域名扫描 – Layer子域名挖掘机 – 下载渗透测试工具 – 子域名扫描 – Layer子域名挖掘机 – 下载
PKAV HTTP Fuzzer是PKAV团队编写的一个带图形验证码爆破识别的渗透测试工具。
下载地址:
链接:https://pan.baidu.com/s/12gMVx4DK-ATTANBWpkmK0w
阅读更多 »渗透测试工具 – PKAV HTTP Fuzzer – 下载