原文地址:http://drops.wooyun.org/tools/12680 Author:[email protected]/* */ 0x00 前言 对于protobuf over-HTTP的数据交互方式Burpsuite不能正确的解析其中的数据结构，需要Burpsuite扩展才能解析，笔者使用mwielgoszewski的burp-protobuf-decoder【1】扩展实践了protobuf数据流的解析，供有需要的同学学习…继续阅读 »

原文地址:http://drops.wooyun.org/papers/3962 0x00 简介 BurpSuite神器这些年非常的受大家欢迎，在国庆期间解了下Burp相关开发并写了这篇笔记。希望和大家分享一下JavaSwing和Burp插件相关开发。第一节仅简单的了解下API相关，后面会带着大家利用Netbeans开发我们自己的扩展以及各种有趣…继续阅读 »

原文地址:http://drops.wooyun.org/tips/2504 0x00 Intruder Scan 发送一个你想csrf_token的请求到intruder。 1)Positions设置如下： （更多…）

原文地址:http://drops.wooyun.org/tools/1629 Repeater Burp Repeater(中继器)是用于手动操作和补发个别HTTP请求，并分析应用程序的响应一个简单的工具。您可以发送一个内部请求从Burp任何地方到Repeater(中继器)，修改请求并且发送它。 Using Burp Repeater 您可以使用中继器用于各种目的，…继续阅读 »

原文地址:http://drops.wooyun.org/tips/2247 0x01 Android虚拟机 proxy for BurpSuite 安卓虚拟机工具 这里我使用的是谷歌安卓模拟器Android SDK,大家可以根据自己的系统来定，我使用的是window64系统，大家选择下载的时候可以注意一下，同时也是使用这个系统来演示。下载地址：http://developer.…继续阅读 »

原文地址:http://drops.wooyun.org/tools/1548 Getting Started Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的…继续阅读 »

原文地址:http://drops.wooyun.org/tips/147 重要的4个规则： 1 &符号不应该出现在HTML的大部分节点中。 2 尖括号<>是不应该出现在标签内的，除非为引号引用。 3 在text节点里面，<左尖括号有很大的危害。 4 引号在标签内可能有危害，具体危害取决于存在的位置，但是在text节…继续阅读 »

原文地址:http://drops.wooyun.org/papers/146 URL格式： scheme://[login[:password]@](host_name|host_address)[:port][/hierarchical/path/to/resource[?search_string][#fragment_id]] 下面详细解释一下各个部分： scheme scheme是协议名不区分大小写，以冒号结尾，表示需要使用的协议来检索资源。 URL协议是由IANA…继续阅读 »

原文地址:http://drops.wooyun.org/tips/151 同源策略 同源策略的文档模型 同源策略（Same Origin policy，SOP），也称为单源策略（Single Origin policy），它是一种用于Web浏览器编程语言（如JavaScript和Ajax）的安全措施，以保护信息的保密性和完整性。 同源策略能阻止网站脚本访问其他…继续阅读 »

原文地址:http://drops.wooyun.org/tips/150 层叠样式表（css） 调用方式有三种： 1 用<style> 2 通过<link rel=stylesheet>，或者使用style参数。 3 XML（包括XHTML）可以通过<?xml-stylesheet href=...?> （更多…）