月份：2019年1月

用了那么久BurpSuite，才知道有Session Handling Rules（会话处理规则）这么个功能可以绕过CSRF_Token，以前都是想着写插件或者Python脚本来绕过。

既然学到了，那就写个博客记录一下，还是蛮简单的。

内容比较多，这里简单说一下主要有两点：

1. 配置一个宏，通过正则等方式自动获取页面表单中的Token值。
2. 配置一个会话处理规则，选择刚刚的配置的宏，根据自定义的配置使宏在不同的URL和工具中生效，自动替换指定的参数内容。

阅读更多BurpSuite使用宏绕过CSRF_Token

问题

用BurpSuite测试手机APP的时候，一些走HTTPS协议的包总是会响应很慢，甚至超时。

如何解决

搜索了一番后发现使用类似的抓包软件：Fiddler 在抓HTTPS包时不会出现响应慢的问题。

阅读更多解决BurpSuite抓APP包超时速度慢的问题

Seay使用C#编写的Layer子域名扫描工具，自带超大字典。

下载地址：

源码地址：https://pan.baidu.com/s/1o8qAKYm

阅读更多子域名扫描 – Layer子域名挖掘机

PKAV HTTP Fuzzer是PKAV团队编写的一个带图形验证码识别的渗透测试工具。

下载地址：

链接：https://pan.baidu.com/s/12gMVx4DK-ATTANBWpkmK0w

阅读更多渗透测试工具 – PKAV HTTP Fuzzer