在Web渗透测试过程中，BurpSuite是不可或缺的神器之一。BurpSuite的核心是代理Proxy，通常情况下使用BurpSuite的套路是：浏览器设置BurpSuite代理——>访问Web应用程序——>BurpSuite抓包分析。本人从事Web渗透测试尚不足一年，这期间在代理设置...

上周末，我参加了法国黑客年度竞赛“Nuit du Hack 2017”的资格预赛，当时我成功搞定了比赛中所有的Web安全挑战，并且一人独得了团队在Web挑战中的所有分数，而我所使用的工具仅仅只有BurpSuite Pro。接下来，我会告诉大家我是如何做到的。这个挑战名叫“Purple Posse M...

0×00 带有token 保护的应用有这样的一个应用(自己写的一个， 后面会附上代码)，你手动去注入的时候，发现是有注入点的加上一个单引号，报错了确实是有注入但是用sqlmap跑的时候却没有Burpsuite 重放失败查看页面源代码 ，发现有个隐藏的token字段说明后端对token进行...