官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
前提概要
本文是关于测试环境配置示例,有些基础,适合一些小白。
测试前提:测试地址是互联网地址,不过做了白名单限制,只能由内网出口的互联网地址进行访问,简而言之就是只能通过内网访问,而且还要开启代理才可以访问到测试地址,测试虽然麻烦了点,但是防御性能较好。
1、浏览器问题
我们都是阶段性的成长,本人目前是处于使用集成工具的阶段,比较喜欢用火狐浏览器,在配置好需要的环境后,也就是使用有线连接后,再使用客户端进行验证,然后还要开启内网代理,才可以正常访问测试地址。windows10的配置:
配置完之后,正准备使用火狐浏览器打开测试地址发现无法访问,换了IE浏览器和谷歌浏览器却是可以正常访问,思考着这是不是禁止火狐浏览器访问了,然后尝试使用火狐的插件User-Agent Switcher修改请求头想尽办法用火狐登录,可是还是不行。插件示图:
考虑良久,问了同事,他是可以正常使用火狐访问的,我却不行,然后我使用了windows2012虚拟机的火狐成功登录测试地址,这很有可能是我的浏览器配置出现问题,毕竟两个版本都是最新的,物理机的浏览器经常被我折腾出问题了,既然可以访问就不管了。
2、burpsuite代理配置
之前也使用过IE浏览器和谷歌浏览器测试过,所以我首先考虑的是使用物理机环境来测试,毕竟虚拟机环境虽然可以使用火狐浏览器,但是看不习惯。准备测试的时候才发现,这两个浏览器代理一直是配置系统自带的那个代理,如果我要配置成burpsuite的抓包代理就会导致浏览器无法正常访问测试网页,连访问都访问不了如何抓包。于是,我想到了wireshark抓包,加上http规则过滤之后还是能够抓取到比较明朗的请求包。wireshark抓取示图:
可是,即使参考了https://blog.csdn.net/boling_cavalry/article/details/82925463文章,能够很直观的看出请求和返回包,但是也很麻烦,虽然可以通过浏览器手工注入进行抓包查看,不过这样会导致效率大大降低。
想着还是使用burpsuite工具方便,直接复制wireshark的请求包到burpsuite的repeater模块进行重放,然而重放失败,报错是连接目标地址失败:
在征询群里的师傅之后,加上同事的提醒,这次用到了是burpsuite平时很少用到的配置代理的模块:
后续
通过burpsuite的代理配置来添加访问测试地址需要的代理地址,之前完全没想到这个问题一是已经做了代理服务器地址的配置了,想着这应该是全局代理了,burpsuite重放也应该可以使用这个代理进行访问的,可惜最终它告诉我不行;二是burpsuite这个模块确实非常少用,印象中记得只是看过类似文章,完全没用过,这就是所谓的纸上谈兵了吧,惭愧。