BurpSuite

BurpSuite是广大安全人员使用率最高的一款工具了,通过对数据包的修改,重放往往能发现很多安全问题,而burp的插件能帮助我们进一步优化使用体验,更好的去发现漏洞。下面是经常用到的插件,这里给大家做一个分享。
之前逛GitHub的时候看到一个老同事写的一个插件,于是就多喵了两眼,然后发现其实这个插件还是很实用的!于是就安装使用了!
OAuth是一种常用的授权框架,它使网站和应用程序能够请求对另一个应用程序上的用户帐户进行有限访问。
所谓HTTP请求走私攻击,顾名思义,就会像走私一样在一个HTTP请求包中夹带另一个或多个HTTP请求包,在前端看来是一个HTTP请求包,但是到了后端可能会被解析器分解开从而导致夹带的HTTP请求包也会被解析。
从HTTP/1.1开始,HTTP Host头是强制性的请求头。它指定客户端要访问的域名或IP。
Web缓存就是服务器会先将之前没见过的请求对应的响应缓存下来,然后当有认为是相同请求的时候直接将缓存发给用户,这样可以减轻服务器的负荷。
SSTI就是攻击者利用原生模板语法将恶意payload注入到可以在服务器端执行的模板中的过程。
WebSocket是一种通过HTTP发起的双向、全双工通信协议。它通常用于现代Web应用程序,用于异步传输。
DOM,全称document object model,译为文档对象模型。是浏览器对页面元素的分层表示。
点击劫持,就是诱导受害者点击页面上透明的按钮或链接以发送一些恶意的请求。