一、抓包工具
Fiddler:轻量级,简洁,原理是使用代理
有一个大坑,如果打开抓包工具,运行Python Requests发起网络请求,Python程序会运行得非常慢,所以必须把抓包工具关掉才可以快速运行抓包工具。
Wireshark
PurpSuite:基于Java的多功能套装
二、Web题的几种姿势
1.只用浏览器
- 查看源码,寻找提示和漏洞
- 打开Console,在控制台下输入语句。可以直接复制粘贴JS代码来运行。也可以覆盖已经定义的函数。
- 审查元素,直接更改HTML
注意Chrome不支持跨域请求,Firefox支持跨域请求。Chrome会自动过滤XSS注入,而Firefox却对不加限制。
2.使用抓包工具
分析包的内容,改包
3.编写Python脚本
熟练使用requests库
三、工具
- binary viewer 二进制查看器
- Sqlmap 数据库注入工具
- StegSolve和StegDetect 用于解决隐写问题
- IDA:强大的反汇编工具
- WinDecrypto:破解替代密码
- ApkTool:Apk破解工具
- Jd-GUI:Java逆向工具
- Foremost文件检测工具
- YAFU:大整数分解工具
- RASTools:RAS算法工具