安基网 首页 安全 渗透测试 查看内容

使用fiddler对网站安全白盒测试

2019-11-9 10:42| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: fiddler简介看了很多fiddler教程,总感觉知识点零散,就在这里重新整理记录一下。完全新手入门到使用,该教程仅供对网站安全性白盒测试参考。下载安装建议直接下载官方版本,这个软件是免费使用的,无需下载绿色版本。官方地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exefid ...

fiddler简介

看了很多fiddler教程,总感觉知识点零散,就在这里重新整理记录一下。完全新手入门到使用,该教程仅供对网站安全性白盒测试参考。

下载安装

建议直接下载官方版本,这个软件是免费使用的,无需下载绿色版本。

官方地址:https://telerik-fiddler.s3.amazonaws.com/fiddler/FiddlerSetup.exe

fiddler使用流程

1. 进入软件,首次设置代理端口和https证书设置

tools -> options 设置 https面板和connections面板,第一个面板添加一个证书,第二个面板修改监听端口,一般默认即可

然后在浏览器里设置代理地址:127.0.0.1:8888

2.浏览器已经设置代理后,访问任何网站,fiddler控制台都会记录url进行抓包

随便点击一个url,可以看到该url参数,header,cookie,返回值等等信息

3.一般情况检测接口安全,都只希望可以监控某个网站的所有请求,而不是普天盖地的请求记录,这时候用filters

可以设置拦截规则 如,某个hosts下的请求,某个指定系统进程下的请求,参数中包含了某个值的请求等等,这样就可以进准定位需要安全测试的url。

同时,可以结合右键url中filter now进行更具体的过滤规则。

4.url篡改攻击和重放攻击

拦截到需要安全监测的url后,就可以进行安全测试主要流程。

首先可以重放攻击测试:reissue requests

重放攻击后返回服务器数据,这里是个验证码接口:

同时,这里有个接口多次重放攻击功能:reissue sequentially,可以指定次数进行访问,可以用来简单地模拟接口压力测试,应该不是并发请求模拟,所以无法进行真实的压测。

接着,就可以进行篡改攻击,使用:reissue and edit

这里可以修改接口请求的参数,进行安全测试。

必备小技巧

1.file - save - save all sessions 保存当前设置的检测配置。每次配置还是很麻烦的,避免重复配置,要保存下来。

2.ctrl+x 清理url控制台。要找到有安全漏洞的url,需要反复寻找测试,就需要时而清理一下。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6756853690662912520/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部