第一个反应就是用bp,然后丢进repeater去看看,果然有flag,
关于burp suite 的使用方法
抓包后,可以将包发送到不同部分进行不同操作
常用:
Intruder:用于暴力破解
repeater:将包发到这里可以一帧一帧查看(比如之前一道让它停下来的题目)
decoder:编码
sequencer:和令牌有关系,还没试过这个
Token, 令牌,代表执行某些操作的权利的对象
访问令牌(Access token)表示访问控制操作主题的系统对象
邀请码,在邀请系统中使用 Token, Petri 网(Petri net)理论中的Token 密保令牌(Security token),或者硬件令牌,例如U盾,或者叫做认证令牌或者加密令牌,一种计算机身份校验的物理设备
模糊测试:是一种安全测试方法,他介于完全的手工测试和完全的自动化测试之间。完全的手工测试即是渗透测试。模糊测试就是在自动化测试的基础上加上渗透测试人员来分析结果、判断漏洞等等
有代码:代码审计来发现漏洞;没有代码,通过逆向工程来发现漏洞
模糊测试的执行过程:
测试工具通过随机或是半随机的方式生成大量数据;
测试工具将生成的数据发送给被测试的系统(输入);
测试工具检测被测系统的状态(如是否能够响应,响应是否正确等);
根据被测系统的状态判断是否存在潜在的安全漏洞。