首页 Amaozn 正文
【渗透课程】第三篇-体验http协议的应用

 2019-04-28    722  

之前我们都了解了,访问网页时,客户端与服务端之间的请求与响应数据交互。本篇就浅谈它的应用。

利用HTTP拦截突破前段验证

比方说,我们在某个网页提交某些数据(例如留言、上传、插入xss等),发生错误(例如提示不支持该文件、您提交的内容非法)

如果提交之后,在原网页发生以上错误,而不是网页跳转之后发出提示。那么很可能网站验证方式是前端验证。

什么是前端验证?

就是在客户端发送请求,服务器响应后向客户端传输网页(html)和验证脚本(JavaScript),我们提交内容时候都要经过网站js的验证。

(简单介绍)

而这里的这个js验证就是属于前端验证,也就是客户端验证,它只在客户端作用。

如何突破验证

这里就要用到工具了

推荐工具:burp、fiddler

这些工具有什么用呢,在这里他们的作用就是能拦截和修改http请求,也就是所谓的抓包。

工具拦截突破过程原理:

1,开启http拦截

2,在网页内提交js判断规则内允许提交的内容

3,此时提交的请求已经被工具拦截了,网页属于堵塞状态,而且我们提交的内容已经被js判断为允许了。

4,在工具内修改拦截的内容(请求内容)

5,发送数据包(接触拦截.正常流通)

如何绕过验证

同理,在接受响应时拦截包。并删除js验证用的代码

软件的使用

软件有很多个,小编推荐burp suite是一款很强大的渗透工具。但是由于burp的安装要在JAVA环境,且工具界面内容为英语。而fiddler有汉化版,EXE文件现下现用。小编觉得如果是体验本章的逻辑和应用的话,还是fiddler是个很不错的选择。至于软件的使用,由于时间和本人较懒和条件有限的问题,请参考:http://m.cr173.com/w/15341

其实教程网上很多的,甚至不需要看教程,Fd摸一下就明白了

如果真的需要或者不懂的,可以在下方评论,小编会抽空录个视频。QQ99108897 或者2780217151

PS

说了那么多,我觉得还是不够,别以为你们看懂了就是看懂了。这东西要多接触,多动手,多实践。介于本篇是说明原理,有些读者可能没有练手的地方。小编决定,在短期内收集和编写一些早期的网站程序源码(漏洞多的源码),给大家动手实验。


  •  标签:  

原文链接:https://www.ceacer.cn/?id=70

=========================================

https://www.ceacer.cn/ 为 “Ceacer 网安” 唯一官方服务平台,请勿相信其他任何渠道。