作為一個薪水兩萬起步的工作，我想知道這些牛人們都會哪些技能呢？

Web安全相關概念、熟悉滲透相關工具、滲透實戰操作、關注安全圈動態、熟悉Windows/Kali Linux、伺服器安全配置、指令碼程式設計學習、原始碼審計與漏洞分析、安全體系設計與開發等。

看著就很厲害的樣子，怪不得技術好的牛人都叫大神呢，雖然我們達不到大神的境界，但是我們可以瞭解一些簡單的基礎知識，比如說今天給大家介紹一個實用技能：利用BurpSuite學習注入工具語句。

大家都知道，BurpSuite可以代理瀏覽器，那它還能代理別的客戶端嗎？如果能，會是怎樣的效果呢？讓我們一起來看一下：

原理

首先我們要來搞清楚 BurpSuite代理的原理，下面這圖一目瞭然：

Buipsuit作為中間人可以攔截PC的資料，如果把PC換成其他客戶端，理論上也可以攔截其他客戶端的資料。而我們就是想學習注入工具的語句，那就把PC換成注入工具。

實踐

1、Pangolin：我們先用注入神器pangolin試試，為什麼要用pangolin？因為它可以設定代理，要知道不是誰都可以設定代理的。

首先設定好Burpsuit為127.0.0.1埠為8080，與平時設定相同。

其次設定Pangolin的代理，依次點選“編輯”、“配置”，設定**為127.0.0.1埠為8080，代理型別選擇HTTP。  

這個時候設定就基本完成了，也就是說已經把上圖中的PC換成Pangolin了，下面就是見證奇蹟的時刻了！

等一下，還沒有注入點呢，怎麼辦？本地搭建一套滲透測試實驗系統以協助注入點檢測，這裡用了“btslab滲透測試實驗室”，大家也可以搭建DVWA等系統。

這裡有個小問題，就是History裡的注入語句URL編碼了，不太直觀，我們可以把滑鼠放在資料包中的注入語句（橙色部分）上，會自動顯示解碼結果，或者可以傳送到“Decoder”進行解碼。

將BurpSuite設定為"Intercept is Off",以便放行資料，然後在history裡檢視記錄。

如下圖，已成功攔截資料。

我們再來注入資料看看注入語句是什麼樣的，包括返回頁面。

 這裡有個小問題，就是History裡的注入語句URL編碼了，不太直觀，我們可以把滑鼠放在資料包中的注入語句（橙色部分）上，會自動顯示解碼結果，或者可以傳送到“Decoder”進行解碼。 

可以看到，成功攔截資料，Intercept is Off 以後，History裡繼續檢視注入語句。

沒有看過癮的小夥伴們，可以去 i 春秋公眾號輸入“半月刊”，還有更多實用技能等你去解鎖！

半月刊是在i春秋論壇精挑細選出優質、系統的內容，重新進行設計排版，以期刊的形式釋出在論壇和技術交流群中。

內容由淺入深，圖文結合，實用性強，真正做到學以致用，不管是剛入門的小白，初級學習者，還是技術從業者，都可以在裡面學到知識並運用到實際工作中。

第四期半月刊上線後，好評如潮，公眾號決定要為小夥伴們謀福利，於是向管理員申請了免費發放的優惠，大家只要在公眾號回覆：半月刊，就可以免費領取最新一期的內容，好東西就是要互相分享，大家一定不要錯過哦！ 

福利預告

今天微信公眾號將釋出免費送票活動：價值468元的FIT大會極客2日通票若干張。

如果你想參加2019網際網路安全創新大會，想和來自全球的行業先鋒們探索安全最前沿技術，那麼一定要關注今天的微信活動，搶到就是賺到，機會不容錯過！