抓包工具哪家强(暴力窃取前戏)
前言
最近活有点赶,都是CRUD,没有什么出彩的设计实现,今天主要是跟大家分享下抓包的对比。其实也是前2天产品对于登录的提示要求细化提示的感想,没有说服产品就使用模糊提示(其实是表明了观点,最后没有了回复)。只能默默的改了,但是其实心里是不认可的。
一、测试之安全测试
安全测试现在越来越重要了,这个大家都知道。很典型的现象就是登录提示,以前确实会明确提示,近几年越来越模糊化提示了,就是为了防止逐个爆破。下面贴一个账号密码的简单爆破流程:
设计思路:
- 理由登录接口返回的明确提示确定参数正确性
- 循环高效试探
- 先试探确定账号存在
- 再试探密码
- 账号、密码均可以加入字典,或者设置一些生成规则生成账号(这是一门社会学)
二、前置工作
要想用上上面的流程进行爆破,别的不说,你总得知道人家的登录接口时啥吧?没有这个接口,你咋知道怎么传参?那都是扯淡是吧,下面就分享1个google的代理切换插件、2个抓包工具(其中一个可是赫赫有名的安全测试工具<实际上也可以搞破坏,刀本无罪,有罪的是用刀的人>)
1.SwitchyOmega
这个插件的强大就不多说了,自行百度。给大家看看界面:
场景创建界面就是这样的,应该很全面了。
经典的是黄色框部分,可以直接这里点击指定代理、直接连接。超级方便
2.Fiddler抓包
这个工具还是非常不错的,老牌抓包工具。
A、抓包代理设置
这里一张图表示,详细设置,自行百度,不是本文的核心内容:
B、证书下载
浏览器输入:127.0.0.1:8888,这个端口就是你刚刚在Fiddler的Connections上设置的端口,会出来界面:
箭头所指就是下载证书
C、证书安装
这里以谷歌浏览器为例,在设置里搜索证书–>管理证书->点击->导入证书
弹出下面界面
下一步->浏览(选择刚刚下载的证书)->完成,大功告成。
D、抓包界面
做完ABC,在刚推荐的那个插件那里新建Fiddler的代理场景。然后浏览器里输入任何地址,注意在代理插件里设置不要直连,要选择走Fiddler代理,看界面,选定一个接口双击,就可以看到出参、出参了:
细心的大家应该可以看到里面有login的接口,但是我不能给大家看,哈哈。想看自己结合我的这个分享去研究。
3.Burp Suite
这个工具很牛x哦,它的专业版本还要米,但是可以找到的,你懂的。它可不仅仅可以抓包我,作为安全测试软件,抓包只是它的一个小工具而已。CSDN的学习会员里有视频教程,上面的Fillder也有。
A、抓包代理设置
B、证书下载
C、证书安装同上
D、抓包界面
只要请求这里就会多一条记录,界面挺多的,大家自己研究。下面主要说下它的同步单个接口抓包:
点击“Action”后,选择“Send to Repeater”,然后切换到Repeater显示模块:
好,到这里要说核心内容了,你试试在左边Request里修改下传参(其他抓包工具可没有这个功能哦)
看到没,这里是可以直接设置传参的哦,其他抓包工具可没有(这也是为什么它其实也可以搞破坏的原因)
再补充Response返回数据中文乱码的处理:
这里一定要注意Font要设置成基础字体(比如宋体、楷体、幼圆等),编码要设置成UTF-8(如果返回数据编码特殊,那要选择对应编码)
三、爆破思路补充
通过第二步抓包拿到登录接口后,就可以开始启动爆破了。这里我今天不编码了,大家按照提个的爆破流程图,可以自己编码。当然对于上面的流程图,在编码的时候还是可以补充一些技巧进去的,比如:
- 加入sleep,避免频繁请求被拒绝
- 加入多线程,提个效率
- 配合IP代理切换,迷惑对方服务器
- 等等
总结
- 这个代理插件真好用
- 抓包还是Brup更强
- 爆破是一门多学科技术,社会学、密码学等等,不然账号生成规则、密码生成规则你都设计不好
- Brup还可以刚其他有意思的事情,你懂的
这也是本次没有说服产品后,衍生的一些想法。有人问我QQ可不可以这样盗号,我只能说任何APP都会请求接口,然后加一句以前可以,现在。。。。。
就写到这里,希望能帮到大家,UPing
抓包工具哪家强(暴力窃取前戏)相关推荐
- 【测试】抓包技术哪家强?关于Burp、Fiddler、Charles三个工具的抓包测试
关于Burp.Fiddler.Charles抓包测试 文章目录 关于Burp.Fiddler.Charles抓包测试 一.测试目标 二.工具分析 三.操作流程 1.Burp Suite抓包实战: 2. ...
- 【Fiddler Everywhere】2022最强抓包工具(安装 修改教程)
人生苦短 我用python 今天来给大家整一个史上最强抓包工具(安装 修改教程)! 源码.资料电子书点击这里 一.Fiddler简介 Fiddler Everywhere 是啥? 从名称上来看, 就大 ...
- 一文学会,三款黑客必备的抓包工具教学(实在太强了,总有一款适合你)
咱们平时在开发对接的时候,前端和后端都习惯使用浏览器F12大法,通过network一栏查看接口通信情况,到底是谁的锅立马就能弄清楚. 浏览器与后端服务通信的一切都能在这个窗口看的一清二楚,不管是网络连 ...
- 最强电脑抓包工具Wireshark中文版下载 | 经典电脑抓包软件
Wireshark中文版是迄今为止最优秀也是世界上最重要和广泛使用的网络协议分析软件,就是大家常说的电脑抓包软件,可以从互联网.IEEE 802.11.PPP/HDLC.ATM.蓝牙.USB.令牌环. ...
- Linux抓包工具tcpdump详解
原文链接 tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具. ...
- 抓包工具tcpdump及分析工具wireshark
一.抓包工具tcpdump tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具.tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问 ...
- mac下的抓包工具Charles
2019独角兽企业重金招聘Python工程师标准>>> 在mac下面,居然没有好的抓包工具,这让我十分纠结,毕竟不可能为了抓一个http包就跑到win下折腾.或许有人说tcpdump ...
- 抓包工具哪些好,来看这里就够了.....
作为软件测试工程师,抓包总是不可避免:遇到问题要做分析需要抓包:发现 bug 需要定位要抓包:检查数据传输的安全性需要抓包:接口测试遇到需求不全的也需要抓包... 就因为抓包在测试工作中无处不在,所以 ...
- 2022全网最全的爆款抓包工具,各有千秋
在处理IP网络的故障时,经常使用以太网抓包工具来查看和抓取IP网络上某些端口或某些网段的数据包,并对这些数据包进行分析,定位问题. 在 IMON项目里,使用抓包工具抓包进行分析的场景在EPG采集.引流 ...
最新文章
- Android如何防止apk程序被反编译
- 科大讯飞刘庆峰发表对未来10年AI三大判断
- 1350 Taxi Cab Scheme DAG最小路径覆盖
- rest_framework02:修改数据/校验钩子/read_only和write_only
- 一个典型的参数型跨站脚本漏洞
- 上世纪八九十年代的收录放音机拆解
- android运营商获取本机号码_一键登录已成大势所趋,Android端操作指南来啦!
- nonlocal python3_Python 中的 global、nonlocal 辨析
- JAVA中實現鏈表 LinkedList的使用
- CakePHP中文手册【翻译】
- Jquery中AJAX的应用
- 淘宝大牛们——晒一晒淘宝网技术内幕
- linux系统可以玩星际争霸吧,在Linux下可用Wine安装和运行星际争霸2、水煮三国
- python程序结构有哪几种_Python程序3种控制结构的由来
- 多车道交通流理论与应用研究综述思维导图
- c语言从入门到放弃之冒泡排序
- 网络定位、A-GPS和GPS的关系
- upc第十一场2020.11.30
- java月亮代码_Java编程实现月食简单代码分享
- 生产订单的计划、实际成本与产出查看