Domande con tag 'burp-suite'

domande con tag
1
risposta

Burpsuite Pro: token CSRF in sequencer

Quindi sto usando Burp per provare a stimare l'entropia usata dai token per prevenire CSRF. Diciamo che un sito web ha un URL nel suo sito protetto da un token: <a href="http://example.com/mypage.TOKEN=1234"> somelink</a> Il...
posta 18.09.2012 - 20:21
1
risposta

Test di sicurezza delle applicazioni mobili Android

Sono un principiante della sicurezza delle applicazioni Android. Mi piacerebbe sapere come eseguire il tunneling del traffico dell'app Android su Burp Proxy. Ho già impostato il proxy nell'emulatore e sta funzionando bene. Tuttavia, l'applicazio...
posta 25.11.2016 - 07:30
2
risposte

Burpsuite: basta passare attraverso il portale di rilevamento firefox

Quando abilito il proxy di Burpsuite, ottengo continuamente richieste http GET per il detectport di firefox come mostrato nell'immagine seguente: Comepossoconfigurarloperpassareinqualchemodolerichiestesilenzioseecaricarel'URLdidestinazione?H...
posta 04.06.2018 - 11:10
3
risposte

Pentesting applicazione Web: quando si enumerano directory e file del sito Web, come stabilire se HTTP 200 è una pagina valida o una pagina di errore?

Supponiamo che un'app Web sia sottoposta a test in cui tutte le funzionalità si trovano dietro un accesso. Uno dei test da eseguire è verificare se una qualsiasi delle pagine è disponibile senza il log-in. Proviamo l'url effettivo della pa...
posta 04.12.2017 - 20:28
2
risposte

Gli invii di moduli su HTTPS non sono crittografati?

La mia domanda riguarda l'invio di moduli HTTPS. Uno dei nostri siti Web utilizza HTTPS, visualizziamo la pagina di accesso all'utente tramite il protocollo HTTPS. Quando il modulo viene inviato, se proviamo a intercettare la richiesta utiliz...
posta 19.01.2014 - 15:57
1
risposta

Come intercettare e sostituire l'URL della richiesta tramite Burp Proxy?

Ho un'app mobile da testare e l'url dove vengono inviate le richieste dall'app mobile è mapi.example.com , ma la società mi ha detto che sarebbe bello se potessi inviare tutte le richieste a mapitest.example.com . La risposta dell'applic...
posta 21.12.2017 - 21:40
3
risposte

Che cosa fanno i dati POST di HackBar (componente aggiuntivo per Firefox)?

Che cosa fa la funzione POST DATA di Hackbar (Addon of Firefox)? Se sto verificando la vulnerabilità di XML XXE lo uso. Ma cosa fa POST di alcuni dati? Se voglio ripetere la stessa cosa usando Burp Suite, come faccio a fare questo?
posta 25.05.2017 - 15:02
2
risposte

come eseguire la scansione di un'applicazione Web che utilizza Captcha

Ho un'applicazione web su cui sto facendo una valutazione di sicurezza e usa captcha sia per il login che per certe operazioni all'interno dell'app. La cosa interessante è che questa particolare app mostra il testo del captcha proprio sotto di e...
posta 09.07.2014 - 16:46
1
risposta

Come miTM inserire un iframe usando il burp o un altro strumento?

Quindi, sto cercando di ottenere un cookie senza il flag di sicurezza abilitato su HTTPS. Dopo averlo letto, ho trovato una risposta: Visita https://secure.example.com/ che fa cadere un cookie il tuo browser. Quindi visita http:/...
posta 04.06.2013 - 17:44
1
risposta

Modo ottimale per catturare il traffico HTTP (S) su applicazioni iOS ignare al proxy

Sto cercando di catturare il traffico HTTP (S) da un'applicazione Xamarin iOS proxy-inconsapevole. Gli strumenti attualmente disponibili sono un Mac con Linux Mint VM, strumenti per sviluppatori Xcode e iOS, Burp Suite Community Edition, Charles...
posta 29.07.2018 - 12:21