泷羽sec-burp(3)

免责声明

学习视频来自 B 站up主泷羽sec，如涉及侵权马上删除文章。

笔记的只是方便各位师傅学习知识，以下代码、网站只涉及学习内容，其他的都与本人无关，切莫逾越法律红线，否则后果自负。

泷羽sec官网：公众号【泷羽Sec】

泷羽sec B站地址：泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频

decodor模块使用

用于对数据进行编码和解码操作。在Web应用程序安全测试中，经常会遇到需要对数据进行编码转换的情况，如URL编码、Base64编码等。

应用场景：分析HTTP请求中的参数，如果请求参数是编码的，解码后查看是否存在恶意输入，如SQL注入或XSS攻击的内容 

启动burp，开启拦截

浏览器配置好代理，开启burp对应代理

访问随意网站进行抓包，例www.baidu.com

选取其中某一参数，将其发送到decodor-编码器

去编码器中中查看，即可看到刚才所传的参数值

若要对参数进行编码，则选择所需编码方式进行编码

若要对参数进行解码，则选择对应解码方式进行解码即可，此处不再进行展示

logger模块使用

功能：它用于记录所有通过代理的请求和响应的详细信息。这些记录可以在后续的分析中发挥作用，例如，当你需要回顾整个测试过程中某个特定功能的请求和响应情况时，Logger中的记录就可以提供完整的数据。

应用场景：在一个复杂的Web应用程序测试中，可能涉及到大量的交互操作。通过Logger可以完整地保存所有相关的信息，便于在发现问题后进行回湖和分析，找出可能导致漏洞的操作步骤或者数据传输情况。

通过设置列信息，可选择需要展示的必要信息

点击某一记录即可查看对应请求和响应的信息

点击View filter，可对过滤信息进行设置，选取我们想要的一些记录

例如过滤出MIME类型为HTML、状态码为2xx[成功]的记录

comparer模块使用

功能：用于比较两个不同的请求、响应或者其他数据之间的差异。这在安全测试中非常有用，例如，当你修改了一个请求参数井重新发送后，可以使用Comparer来查看响应内容与原始响应有哪些不同之处。

应用场景：比如在测试文件上传功能时，比较正常文件上传和恶意文件上传（如包含恶意脚本的文件）后的服务器响应差异，以此来判断是香存在安全漏洞。它可以比较的数据包括HTTP消息头、消息体、XML数据、JSON数据等多种格式。

以www.baidu.com为例，抓取一个包，将其发送至对比器

修改请求报文中的值，然后将包发送至对比器

从上述对比器中结果可以看到，上方高亮显示的是第一次发送的请求，下方高亮显示的是第二次发送的请求，通过对比器可以看到两次报文长度的变化以及数据的不同

可选择比较一个字或字节的方式进行比较，对于不同之处会突出显示

下图为存在xss漏洞的某网页正常请求与存在攻击的请求的对比