个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
38
4
我有一个应用程序使用 OAuth 让用户登录 Linkedin。
应用或浏览器快速连续向 linkedin 发送两个 OAuth 请求,导致 LinkedIn 在几毫秒内返回两个响应。
这两个重复的请求最终在数据库中创建了两个用户。
此处的主要保护措施是添加数据库端验证以防止出现这种情况,但希望能够首先重现此问题。
我正在使用 Burp Suite 拦截返回我的应用程序的请求。请求被拦截后,如何在几毫秒内重播请求两次?
此外,是否有更好的方法来拦截返回的请求并快速重放以重现我的问题?
谢谢!
最佳答案
您可以在 Burp Suite 中与入侵者一起完成。您可以将请求发送到入侵者模块(右键单击请求并“发送给入侵者”)然后您可以在一个不重要的标题中选择一个字符,因为入侵者必须更改请求中的某些内容才能使他重复它。之后,在有效载荷选项卡中,将您在有效载荷位置选择的值添加到有效载荷选项列表中。这样 Burp 将发送两个请求,一个是原始请求,另一个是您添加的值(但如果您使用相同的值,那么它基本上是相同的)。
如果一切就绪,则使用“入侵者”菜单中的“开始攻击”启动入侵者。
关于http - 重复请求(使用 Burp Suite 或类似工具),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35142750/
38
4
0
我的应用程序是单页应用程序。它有以下模块.. 添加用户、编辑用户、删除用户、设置。 ETC。, 我使用 Burp Proxy 收集了 HTTP 历史记录中的所有 url。 我想对我指出的模块进行扫描、
所以我一直在尝试使用我的手机通过 burp 获取请求/SSL。基本上我多次非常仔细地遵循这些步骤: Configuring your Browser to work with Burp Configu
Burp+Xray的联动使用 步骤如下, 1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。监听的报告输出到xray文件夹根目录下的pro
最近需要在burp的intruder模块中写一个自定义的payload generator 然后我google了一下,按照网上的文章去做,但是有两个界面,我不知道该怎么做。 我应该同时实现它们还是什么
我想将 Burp 配置为我的 java 代码的代理,以查看请求和响应。Burp 作为 Web 浏览器之间的代理可以很好地工作,但它不适用于 Java 应用程序。 我已经在代码中添加了这样的行: Web
有一个Juice Shop易受攻击的应用程序,可作为docker镜像使用。我正在Windows 10上对其进行测试。 我能够使用以下命令运行该应用程序: docker pull bkimminich/
我正在使用 jquery mobile 开发混合 android 移动应用程序并在手机间隙运行我的应用程序。我想使用 BURP 套件测试此应用程序的安全问题。我是 BURP Suite 的新手。如何将
我正在开发具有 的应用程序SSL pinning 未实现 安全点开放。 下面这个方法负责使用 SSL 代码调用 API。我已经浏览了android官方文档。代码几乎相似。 private SSLSoc
我看到很多人都在谈论这2个工具 Burp 套件和 Wireshark 最适合渗透测试,但我很好奇它们各自的优缺点是什么?他们每个人在哪里会更好地使用,有什么区别? 最佳答案 Burp Suite是 申
我从昨天开始就面临这个问题,Burp 在尝试导入插件的 .jar 文件时开始显示以下错误,但 Netbeans 编译它没有问题。我通过 pom.xml 文件中的 Maven 依赖项导入 Seleniu
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
我正在尝试运行 Burp Suite 代理来从我的手机进行一些测试。 我已经设置了 Burp Suite 社区版 2.1.04我已将我的 wifi 设置为使用计算机的 IP 地址作为代理> 选项> 代
在 Burp Suite 中,来自 Project Options -> SSL我们可以使用特定主机名的密码导入 PKCS#12 文件。 我尝试使用以下命令手动导出 block 和 key 文件,然后
有没有一种方法可以隐藏在提交表单时回传的键和值。因为这些键值可以被黑客使用安全测试工具(例如 burp 套件)篡改吗? 最佳答案 虽然 HTTPS 用于保护传输中的数据,但没有切实可行的方法来防止用户
我有一个网站:https://abs:8443/myweb我使用 burp suite 作为本地代理: proxyIP = "127.0.0.1" proxyPort = 8080 然后我尝试通过 b
我有一个应用程序使用 OAuth 让用户登录 Linkedin。 应用或浏览器快速连续向 linkedin 发送两个 OAuth 请求,导致 LinkedIn 在几毫秒内返回两个响应。 这两个重复的请
当我遇到它的加密时,我试图让自己熟悉它的基本概念,简而言之,它的功能如下, 现在我看到我公司的 QA 工程师使用这个叫做 burp-suite 的工具来拦截请求。 我感到困惑的是,即使数据流经加密 c
为了获取 BurpSuite 报告,我尝试使用 REST API 将我的应用程序与 BurpSuite Scanner 集成。谁能帮我这个。 最佳答案 目前,Burp 没有内置的 REST API。一
我在默认网关上以透明模式设置了 burp 代理。 Burp 套件向基于 Web 的 HTTPS 客户端显示自签名证书并拦截流量。但是,它无法拦截基于 IP 的流量。 例如它可以拦截https://ab
我已正确配置 Burp 以在代理位置进行拦截 127.0.0.1:9090 我的 Internet Explorer 代理设置如下: 我还有一个名为 WebGoat 的网络服务器在 http://lo
我是一名优秀的程序员,十分优秀!