客户端工具
-
Brupsuite
-
Proxy - 拦截HTTP/HTTPS的代理服务器,作为一个浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流
-
Intruder - 定制的高度可配置工具,对web应用程序进行自动化攻击 如枚举标识符,收集有用数据,以及使用fuzzing技术探测常规漏洞
-
Repeater - 靠手动操作来补发单独堆Http请求,并分析应用程序响应的工具
-
Sequencer - 分析不可预知的应用程序会话令牌和重要数据项的随机性工具
-
Decoder - 手动执行或对应用程序数据者智能编码解码
-
Comparer - 实用的工具,通过一些相关的请求和响应得到两项数据的一个可视化的差异
-
下载地址 portswigger.net/burp
-
监听代理端口配置
关闭拦截
firefox浏览器配置代理
用之前配置的django网站测试
Brupsuite拦截到请求
Repeater Sequencer Intruder 可以自行去尝试下
-
Curl
-
一个功能强大灵活的网络工具,使用url的形式传输数据,支持HTTPS, IMAP POP3 RTSP SCP FTP FTPS TFTP SMTP SMB Telnet等协议
-
多用于抓取网页 网络监控等方面 解决开发及调试中遇到的问题
-
curl ifconfig.co 查看本机公网ip curl -v ifconfig.co 回显过程 -v
-
windows需要单独下载,mac默认已集成,通过man curl查看手册
-
-
Wappalyzer
-
Postman
-
Hackbar
浏览器插件
Hackbar
firefox 浏览器插件 包含一些常用的工具 (SQL injection, XSS, 加密等)可以利用它快速构建一个HTTP请求,或者用它快速实现某种算法等,多用于手工测试Web漏洞
firefox添加插件 hackbar quantum插件
Wappalyzer
Wappalyzer插件是一款功能强大的并且非常使用的网站技术分析插件
通过这个插件的功能,我们就可以了解到目标网站所采用的平台架构 网站环境 服务器配置环境 Javascript框架 以及变成语言等等
通过 Wappalyzer了解到 网站使用的是 Django框架,变成语言使用的是 Python
这就为后续的渗透测试提供给了进一步的信息
