首页 > 其他分享 >如何使用Burp Suite测试WebSocket

如何使用Burp Suite测试WebSocket

时间:2023-01-04 16:23:06浏览次数:64  
标签:Repeater 可以 点击 WebSocket Burp Suite 面板 消息

BurpSuite具有测试WebSocket的能力,可以实时拦截和修改WebSocket消息。遗憾的是,Burp缺乏针对WebSockets的Repeater、Scanner或Intruder功能。但在新版BurpSuite中,增加了针对WebSockets的Repeater功能。

1、在Burp中,WebSocket拦截是默认启用的,你只需打开主拦截即可。这样一来,你就可以通过与HTTP相同的方式获取所截获的WebSocket双向消息。同时也可以在拦截窗口中编辑它们。

2、在Proxy-Options页面,可以配置在主拦截页面可以截获哪个方向的WebSocket流量。默认情况下,两个方向的流量均会截获。

3、在WebSockets历史记录选项卡中可以查看历史WebSocket消息。点击某条消息,会在下方显示消息内容。

4、在新版BurpSuite中,WebSocket增加了Repeater功能。在Repeater中可以实现消息的修改和重放。在WebSockets历史记录中选择某条待测消息,右击,选择Send to Repeater。

5、此时在Repeater选项卡下就会显示这条消息,我们可以一遍又一遍地对这条消息进行重新编辑并继续发送。左边Send WebSocket Message面板中,在raw或Hex页面可以编辑消息;点击send可以发送消息;选择To server/To client可以控制消息发送的方向;勾选Select next message Received表示从另一个方向返回的消息将在右边History面板被自动选择并显示在下方。

6、在Repeater下的History面板中会记录历史消息,包括消息的具体内容、方向、人工/自动发送、长度、发送时间和WebSocket ID。WebSocket ID是burpsuite中引用WebSocket的唯一标识符。当我们选中History面板中某条消息时,消息的具体内容就会显示在面板下方,可以切换raw和Hex两种格式。

7、在History面板中,可以选中某条消息,右击,在下拉列表中点击Edit and resend,此时,burpsuite会将这条消息发送到左边面板,覆盖原始消息。通过这种方法,我们可以编辑并重新发送更多消息。

8、我们可以在浏览器中实时查看在Repeater中编辑发送的消息,这是因为我们正在浏览器和服务器建立的实时WebSocket中注入消息。

9、在Repeater中,我们还可以控制发送消息的WebSocket连接。点击上方的铅笔图标,在弹出页面中会显示所有已创建的WebSocket列表。可以点击New WebSocket创建一个新的WebSocket链接;可以选中一个连接状态的WebSocket链接,点击clone复制,点击attach切换;也可以选中一个断开状态的WebSocket链接,点击Reconnect重新连接。

10、点击铅笔图标左边的绿色开关,可以断开或者重新连接正在使用的WebSocket。

11、点击选项卡标题中的三个点,在下拉列表中选择WebSocket,就可以在Repeater中新建一个全新的WebSocket选项卡。在弹出页面选中一个连接状态的WebSocket链接,点击attach,就可以在新选项卡页面附加上这个WebSocket。

 

标签:Repeater,可以,点击,WebSocket,Burp,Suite,面板,消息
From: https://www.cnblogs.com/zhengna/p/16991014.html

相关文章

  • 如何使用Fiddler测试WebSocket
    一Fiddler本身可以捕获WebSocket流量,但是无法操纵WebSocket流量。1、启动fiddler,在主session列表中找到带ws图标的WebSocket请求。2、双击ws请求,Fiddler界面右边就会出......
  • 渗透工具burpsuite的安装与配置环境变量
    Burpsuite简介Burpsuite是用于攻击web应用程序的集成平台,它可以算是web安全工具里面的瑞士军刀。所有的工具共享一个能处理并显示HTTP消息的可扩展框架,模块之间无缝交换所有......
  • Burpsuit的暴力破解模块及暴力破解防范
    Burpsuit的暴力破解模块及暴力破解防范一、Attacktype1.sniper(狙击手)一个变量一个字典,将字典内容依次往上填(一个字典一个参数,先匹配第一个再匹配第二个)2.Clusterbomb......
  • STS(Spring Tool Suite)使用小技巧记录
    偶尔有些jar包无论如何都无法用maven下载,(例如我正在用的kaptcha)只好自己手动下载了以后再添加。这个时候记得修改以下地方。自动的VMware服务器无法启动,报错如下图解决办法,......
  • STS(Spring Tool Suite)使用前准备
    好了,卖了两个月冰激凌,现在又回来做程序员了。发现好多东西已经忘了。所以拿csdn当个记事本,方便我也方便其他和我有同样问题的人。现在打算用springmvc来做些东西,工具就用st......
  • 011websocket代理
    一、安装haproxysudoadd-apt-repositoryppa:vbernat/haproxy-2.6-ysudoaptinstallhaproxy-ysudosystemctlstatushaproxysudosystemctlenablehaproxycd......
  • Uncaught (in promise) Neo4jError: WebSocket connection failure. Due to security
    问题使用​​vue-neo4j​​​连接​​neo4j​​数据库时,控制栏出现以下问题:neo4j版本为4.4.5​​Uncaught(inpromise)Neo4jError:WebSocketconnectionfailure.Dueto......
  • java实现websocket的五种方式
    1.前言2.第一种使用Java原生代码实现websocket2.1.首先在项目中引入依赖2.2.创建WebsocketServer类2.3.启动SocketServer2.4.测试websocketserver3.使......
  • Nginx 代理webSocket时60s自动断开, 保持长连接
    利用nginx代理websocket的时候,发现客户端和服务器握手成功后,如果在60s时间内没有数据交互,连接就会自动断开,如下图:为了保持长连接,可以采取来两种方式.1.nginx.conf文件里locati......
  • websocket 多个nginx转发
    官网http://nginx.org/en/docs/http/websocket.html第一个nginxserver{listen6794;root/mnt/dist;location/analyze/{prox......