【滲透課程】第三篇-體驗http協議的應用
之前我們都了解了,訪問網頁時,客戶端與服務端之間的請求與響應數據交互。本篇就淺談它的應用。
利用HTTP攔截突破前段驗證
比方說,我們在某個網頁提交某些數據(例如留言、上傳、插入xss等),發生錯誤(例如提示不支持該文件、您提交的內容非法)
如果提交之後,在原網頁發生以上錯誤,而不是網頁跳轉之後發出提示。那麽很可能網站驗證方式是前端驗證。
什麽是前端驗證?
就是在客戶端發送請求,服務器響應後向客戶端傳輸網頁(html)和驗證腳本(JavaScript),我們提交內容時候都要經過網站js的驗證。
(簡單介紹)
而這裏的這個js驗證就是屬於前端驗證,也就是客戶端驗證,它只在客戶端作用。
如何突破驗證
這裏就要用到工具了
推薦工具:burp、fiddler
這些工具有什麽用呢,在這裏他們的作用就是能攔截和修改http請求,也就是所謂的抓包。
工具攔截突破過程原理:
1,開啟http攔截
2,在網頁內提交js判斷規則內允許提交的內容
3,此時提交的請求已經被工具攔截了,網頁屬於堵塞狀態,而且我們提交的內容已經被js判斷為允許了。
4,在工具內修改攔截的內容(請求內容)
5,發送數據包(接觸攔截.正常流通)
如何繞過驗證
同理,在接受響應時攔截包。並刪除js驗證用的代碼
軟件的使用
軟件有很多個,小編推薦burp suite是一款很強大的滲透工具。但是由於burp的安裝要在JAVA環境,且工具界面內容為英語。而fiddler有漢化版,EXE文件現下現用。小編覺得如果是體驗本章的邏輯和應用的話,還是fiddler是個很不錯的選擇。至於軟件的使用,由於時間和本人較懶和條件有限的問題,請參考:http://m.cr173.com/w/15341
其實教程網上很多的,甚至不需要看教程,Fd摸一下就明白了
如果真的需要或者不懂的,可以在下方評論,小編會抽空錄個視頻。QQ99108897 或者2780217151
PS
說了那麽多,我覺得還是不夠,別以為你們看懂了就是看懂了。這東西要多接觸,多動手,多實踐。介於本篇是說明原理,有些讀者可能沒有練手的地方。小編決定,在短期內收集和編寫一些早期的網站程序源碼(漏洞多的源碼),給大家動手實驗。
【滲透課程】第三篇-體驗http協議的應用