• Web安全你了解多少（一）- 搭建一个django网站
• Web安全你了解多少（二）- HTTP基础&安全溯源

客户端工具

• Brupsuite

  • Proxy - 拦截HTTP/HTTPS的代理服务器，作为一个浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流

  • Intruder - 定制的高度可配置工具，对web应用程序进行自动化攻击 如枚举标识符，收集有用数据，以及使用fuzzing技术探测常规漏洞

  • Repeater - 靠手动操作来补发单独堆Http请求，并分析应用程序响应的工具

  • Sequencer - 分析不可预知的应用程序会话令牌和重要数据项的随机性工具

  • Decoder - 手动执行或对应用程序数据者智能编码解码

  • Comparer - 实用的工具，通过一些相关的请求和响应得到两项数据的一个可视化的差异

  • 下载地址 https://portswigger.net/burp

监听代理端口配置

image.png

关闭拦截

image.png

firefox浏览器配置代理

image.png

用之前配置的django网站测试

image.png

Brupsuite拦截到请求

image.png

image.png

Repeater Sequencer Intruder 可以自行去尝试下

• Curl

  • 一个功能强大灵活的网络工具，使用url的形式传输数据，支持HTTPS, IMAP POP3 RTSP SCP FTP FTPS TFTP SMTP SMB Telnet等协议

  • 多用于抓取网页 网络监控等方面 解决开发及调试中遇到的问题

  • curl ifconfig.co 查看本机公网ip curl -v ifconfig.co 回显过程 -v

  • windows需要单独下载，mac默认已集成，通过man curl查看手册

• Wappalyzer

• Postman

• Hackbar

浏览器插件

Hackbar

firefox 浏览器插件 包含一些常用的工具 （SQL injection, XSS, 加密等）可以利用它快速构建一个HTTP请求，或者用它快速实现某种算法等，多用于手工测试Web漏洞

firefox添加插件 hackbar quantum插件

image.png

Wappalyzer

Wappalyzer插件是一款功能强大的并且非常使用的网站技术分析插件

通过这个插件的功能，我们就可以了解到目标网站所采用的平台架构 网站环境 服务器配置环境 Javascript框架 以及变成语言等等

image.png

通过 Wappalyzer了解到 网站使用的是 Django框架，变成语言使用的是 Python

这就为后续的渗透测试提供给了进一步的信息