(第二课) proxy
18
edu.51cto.com edu.51cto.com 第第第第 () proxy Kali Linux Web 第第第第— 第第第第
description
Kali Linux Web 渗透测试 — 初级教程. (第二课) proxy. 玄魂. 交流 qq 群: 303242737. Proxy 基本原理 Kali linux 中的代理 工具. Proxy 基本原理. 正向代理 (Forward Proxy) 反向代理( reverse proxy ) 透明 代理( transparente proxy ). 正向代理 (Forward Proxy). 正向代理 (Forward Proxy). 访问本无法访问的服务器 Cache 作用 客户端访问授权 隐藏访问者的行踪. - PowerPoint PPT Presentation
Transcript of (第二课) proxy
edu.51cto.comedu.51cto.com
(第二课) proxy
Kali Linux Web 渗透测试—初级教程
edu.51cto.com
讲师:玄魂交流 qq 群: 303242737
edu.51cto.com
课程目录Course Contents
Proxy 基本原理Kali linux 中的代理工具
edu.51cto.com
Proxy基本原理正向代理 (Forward Proxy)反向代理( reverse proxy)透明代理( transparente
proxy)
edu.51cto.com
正向代理(Forward Proxy)
edu.51cto.com
正向代理(Forward Proxy)
访问本无法访问的服务器 Cache作用 客户端访问授权 隐藏访问者的行踪
edu.51cto.com
反向代理(reverse proxy)
edu.51cto.com
透明代理
edu.51cto.com
Kali linux中的代理工具 Mitmproxy Burp Suite Owasp-zap Paros Proxystrike Vega webscarab
edu.51cto.com
Mitmproxy
a man-in-the-middle proxy Intercept HTTP requests and responses and modify them on the fly. Save complete HTTP conversations for later replay and analysis. Replay the client-side of an HTTP conversations. Replay HTTP responses of a previously recorded server. Reverse proxy mode to forward traffic to a specified server. Transparent proxy mode on OSX and Linux. Make scripted changes to HTTP traffic using Python. SSL certificates for interception are generated on the fly. And much, much more.
edu.51cto.com
Burp Suite
Burp Suite 是用于攻击 web 应用程序的集成平台。 代理– Burp Suite 带有一个代理 , 通过默认端口 8080 上运行,使用这个代理,我们可以截获并修改从客户端到 web 应用程序的数据包 .
edu.51cto.com
Owasp-zap
OWASP Zed Attack Proxy Project 攻击代理(简称 ZAP ),是一款查找网页应用程序漏洞的综合类渗透测试工具。它包含了拦截代理、自动处理、被动处理、暴力破解、端口扫描以及蜘蛛搜索等功能。 OWASP ZAP 为会话类调试工具,调试功能对网站不会发起大量请求,对服务器影响较小。
edu.51cto.com
Paros
paros proxy ,这是一个对 Web 应用程序的漏洞进行评估的代理程序,即一个基于 Java 的 web 代理程序,可以评估 Web 应用程序的漏洞。它支持动态地编辑 / 查看 HTTP/HTTPS, 从而改变 cookies 和表单字段等项目。它包括一个 Web 通信记录程序, Web 圈套程序 (spider) , hash 计算器,还有一个可以测试常见的 Web 应用程序攻击 ( 如 SQL 注入式攻击和跨站脚本攻击 ) 的扫描器。该工具检查漏洞形式包括: SQL 注入、跨站点脚本攻击、目录遍历等。
edu.51cto.com
Proxystrike Plugin engine (Create your own plugins!) Request interceptor Request diffing Request repeater Automatic crawl process Http request/response history Request parameter stats Request parameter values stats Request url parameter signing and header field signing Use of an alternate proxy (tor for example ;D ) Sql attacks (plugin) Server Side Includes (plugin) Xss attacks (plugin) Attack logs Export results to HTML or XML
edu.51cto.com
Vega
Vega 是一个开放源代码的 web 应用程序安全测试平台,Vega 能够帮助你验证 SQL 注入、跨站脚本( XSS )、敏感信息泄露和其它一些安全漏洞。 Vega 使用 Java编写,有 GUI ,可以在 Linux 、 OS X 和 windows 下运行。 Vega 类似于 Paros Proxy, Fiddler, Skipfish and ZAproxy 。
edu.51cto.com
webscarab
WebScarab一款代理软件,包括 HTTP 代理,网络爬行、网络蜘蛛,会话 ID 分析,自动脚本接口,模糊测试工具, WEB 格式的编码 / 解码, WEB 服务描述语言和SOAP 解析器等功能模块。 WebScarab 基于 GNU 协议,使用 Java 编写,是 WebGoat 中所使用的工具之一。
edu.51cto.com
Vega
Vega 是一个开放源代码的 web 应用程序安全测试平台,Vega 能够帮助你验证 SQL 注入、跨站脚本( XSS )、敏感信息泄露和其它一些安全漏洞。 Vega 使用 Java编写,有 GUI ,可以在 Linux 、 OS X 和 windows 下运行。 Vega 类似于 Paros Proxy, Fiddler, Skipfish and ZAproxy 。
edu.51cto.com
Thank You !
edu.51cto.com
