之前我们都了解了,访问网页时,客户端与服务端之间的请求与响应数据交互。本篇就浅谈它的应用。
利用HTTP拦截突破前段验证
比方说,我们在某个网页提交某些数据(例如留言、上传、插入xss等),发生错误(例如提示不支持该文件、您提交的内容非法)
如果提交之后,在原网页发生以上错误,而不是网页跳转之后发出提示。那么很可能网站验证方式是前端验证。
什么是前端验证?
就是在客户端发送请求,服务器响应后向客户端传输网页(html)和验证脚本(JavaScript),我们提交内容时候都要经过网站js的验证。
(简单介绍)
而这里的这个js验证就是属于前端验证,也就是客户端验证,它只在客户端作用。
如何突破验证
这里就要用到工具了
推荐工具:burp、fiddler
这些工具有什么用呢,在这里他们的作用就是能拦截和修改http请求,也就是所谓的抓包。
工具拦截突破过程原理:
1,开启http拦截
2,在网页内提交js判断规则内允许提交的内容
3,此时提交的请求已经被工具拦截了,网页属于堵塞状态,而且我们提交的内容已经被js判断为允许了。
4,在工具内修改拦截的内容(请求内容)
5,发送数据包(接触拦截.正常流通)
如何绕过验证
同理,在接受响应时拦截包。并删除js验证用的代码
软件的使用
软件有很多个,小编推荐burp suite是一款很强大的渗透工具。但是由于burp的安装要在JAVA环境,且工具界面内容为英语。而fiddler有汉化版,EXE文件现下现用。小编觉得如果是体验本章的逻辑和应用的话,还是fiddler是个很不错的选择。至于软件的使用,由于时间和本人较懒和条件有限的问题,请参考:http://m.cr173.com/w/15341
其实教程网上很多的,甚至不需要看教程,Fd摸一下就明白了
如果真的需要或者不懂的,可以在下方评论,小编会抽空录个视频。QQ2780217151
PS
说了那么多,我觉得还是不够,别以为你们看懂了就是看懂了。这东西要多接触,多动手,多实践。介于本篇是说明原理,有些读者可能没有练手的地方。小编决定,在短期内收集和编写一些早期的网站程序源码(漏洞多的源码),给大家动手实验。