之前我們都了解了,訪問網頁時,客戶端與服務端之間的請求與響應數據交互。本篇就淺談它的應用。

利用HTTP攔截突破前段驗證

比方說,我們在某個網頁提交某些數據（例如留言、上傳、插入xss等）,發生錯誤（例如提示不支持該文件、您提交的內容非法）

如果提交之後,在原網頁發生以上錯誤,而不是網頁跳轉之後發出提示。那麽很可能網站驗證方式是前端驗證。

什麽是前端驗證？

就是在客戶端發送請求,服務器響應後向客戶端傳輸網頁（html）和驗證腳本（JavaScript）,我們提交內容時候都要經過網站js的驗證。

（簡單介紹）

而這裏的這個js驗證就是屬於前端驗證,也就是客戶端驗證,它只在客戶端作用。

如何突破驗證

這裏就要用到工具了

推薦工具:burp、fiddler

這些工具有什麽用呢,在這裏他們的作用就是能攔截和修改http請求,也就是所謂的抓包。

工具攔截突破過程原理：

1,開啟http攔截

2,在網頁內提交js判斷規則內允許提交的內容

3,此時提交的請求已經被工具攔截了,網頁屬於堵塞狀態,而且我們提交的內容已經被js判斷為允許了。

4,在工具內修改攔截的內容（請求內容）

5,發送數據包（接觸攔截.正常流通）

如何繞過驗證

同理,在接受響應時攔截包。並刪除js驗證用的代碼

軟件的使用

軟件有很多個,小編推薦burp suite是一款很強大的滲透工具。但是由於burp的安裝要在JAVA環境,且工具界面內容為英語。而fiddler有漢化版,EXE文件現下現用。小編覺得如果是體驗本章的邏輯和應用的話,還是fiddler是個很不錯的選擇。至於軟件的使用,由於時間和本人較懶和條件有限的問題,請參考：http://m.cr173.com/w/15341

其實教程網上很多的,甚至不需要看教程,Fd摸一下就明白了

如果真的需要或者不懂的,可以在下方評論,小編會抽空錄個視頻。QQ99108897 或者2780217151

PS

說了那麽多,我覺得還是不夠,別以為你們看懂了就是看懂了。這東西要多接觸,多動手,多實踐。介於本篇是說明原理,有些讀者可能沒有練手的地方。小編決定,在短期內收集和編寫一些早期的網站程序源碼（漏洞多的源碼）,給大家動手實驗。

【滲透課程】第三篇-體驗http協議的應用