请求头注入神器 -- BurpHeaderHelper
2023-1-8 08:3:40 Author: Web安全工具库(查看原文) 阅读量:61 收藏

===================================

免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 工具介绍

BurpHeaderHelper是基于Burpsuite的插件,通过自定义规则的来对Http请求头进行增删改操作。

0x02 安装与使用

1、加载插件: Extender -> Burp Extensions -> Add -> Select File... -> Next -> BurpHeaderHelper-xxx.jar

2、在Burp拦包时候发现浏览器总会有携带一些不必要的头信息(或许吧!),通过一些浏览器的插件可以去除这些头信息,但是实际的情况是总会有这些冒出来(可能是插件不给力或者我使用方式不对?)!

3、编写规则来去除 Sec-Ch-Ua-Mobile Sec-Ch-Ua-Platform Sec-Fetch-Site 这几个头信息,并点击状态为启用

在Repeater模块上重放数据包

在服务器上查看对应的请求,可以看到相应的几个头信息都被去除。

编写完规则后,要进行保存,这样下次启动时将加载配置。

0x03 项目链接下载

1、通过阅读原文,到项目地址下载

2、关注公众号web安全工具库,后台回复:工具

3、每日抽奖送书

· 推 荐 阅 读 ·

本书共分12章,通过DVWA、Pikachu等靶场以及在线CTF实战演练平台,分析Web漏洞原理,掌握漏洞利用方法,并结合CTF实战演练,使读者能够充分掌握Web渗透测试技术。本书重点介绍SQL注入、XSS、CSRF、SSRF、RCE、文件上传、文件包含、暴力破解、反序列化、Web框架、CMS等常见的Web漏洞及其防御手段。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247507090&idx=1&sn=62bd026d7a170842a24d6a2fda312359&chksm=ebb53391dcc2ba876d3ed02ce976a5c1565804f1d6388cfb3e3393b6164a256bea3de8c8528f#rd
如有侵权请联系:admin#unsafe.sh