(jdk11.0可以 高版的的不行 低版本的也不行)
1、解压文件
2、修改burpsuite.bat文件
原先
修改后(注意--前面有个空格)
3、打开burpsuite.bat文件点击我接受
4、
5、选择手动激活
6、
7、安装成功
配置使用 burp配置https抓包方法
1、设置端口8081
2、以火狐为主
3、安装CA证书
访问http://burp/
如果没有设置1和2 是不能访问下面这个页面的
4、点击下载
5、导入刚下载的证书
在HTTPS通信过程中,一个很重要的介质是CA证书,所以需要进行Burp Suite中CA证书的安装
基本使用
burp工具就是一个代理,浏览器发出的数据包都通过代理进行处理,如果转发,那么就会让浏览器和服务器之间进行交互。上面的on代表的代理启动,如果是off状态那么是代理关闭。
1、浏览器请求www.baidu.com,可以看到处于加载状态
2、点击转发,那么浏览器就会得到内容
操作1
显示
加上代理后,修改一下
显示
操作2抓包app
1、首先设置网络,下面的一些都是自己适配器的网络
2、设置一个端口号,这里设置的8888
3、设置安卓模拟器的网络,按住不动,
4、
5、
面板按钮介绍
除了在访问历史里面存在访问记录,在target同样存在这个内容
选择以后点击一下空白地方将进行过滤
sessionid 有时候一个用户是固定不变的 在退出登录或者是关闭浏览器时会设置为false 这时候还用那个session还能登入 ,sessionid必须是短时间有效的,不能使用固定id。
判断用户id有时候返回值不同,可以查看返回值进行判断。
sessionid生成要使用公用算法,不要使用自己的算法。
sessionid生成不要使用登录时间生成hash
如果key是128,很可能是MD5,如果是160位很可能是SHA1,如果是256很可能是SHA256。
在对密码找回生成邮件中的链接时,不要对邮箱信息直接查对应的md5值
