声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章
感谢泷羽sec 团队的教学
视频地址:IP伪造和爬虫审计_哔哩哔哩_bilibili
一、FakeIP
1.配置环境
BurpSuite是java环境下编写的,而今天的插件是python编写的,所以我们要先配置好环境。
(1)下载jython
Jython允许Python代码转换为Java字节码,从而使Python可以在Java平台上运行
下载网址:Home | Jython
(2)配置到BurpSuite
2.安装插件
(1)安装FaskIP插件
下载地址:GitHub - AeolusTF/BurpFakeIP: 一个用于伪造ip地址进行爆破的Burp Suite插件
(2)将插件安装到BurpSuite
3.实操
(1)选择FaskIP的随机ip
(2)保存X-Forwarded-For,其余删除,发至Intuder,设置变量
(3)选择payload,扩展生成,选择FaskIp插件
(4)使用成功
4.FakeIP与代理池的区别
FakeIP:伪造IP,在一些情况下能有效绕过WAF,但是日志里面记录的还是本机IP,溯源到的还是本机IP
代理池:代理池的都是真实IP,每一次发包都是由代理池的真实IP进行发包。配合Burp插件的使用,每一次发包换一次代理,直到池子的代理更换完为止
二、爬虫审计
1.首页任务:
- 新建扫描
- 新建实时任务
2.实时任务:
(1)类型
- 实时审计:对通过代理的所有流量进行实时分析和检测,使用官方POC进行验证。
- 实时被动爬虫:不主动向目标服务器发送请求,通过监听流量来收集信息。
(2)实时审计的扫描设定:
比较重要的两个设置:
- 审计优化:设置审计的速度和准确率。
- 速度:快速、适中、全面。
- 准确率:减少漏报率、适中、减少误报率。
- 插入点类型:URL参数值、Body参数值、cookie参数值、参数名称、HTTP报头、整个主体、URL路径的文件名、URL路径的文件夹。
(3)实时审计和实时被动爬虫结合:
- 访问网站时同时进行信息收集和实时审计。
- 爬虫收集的信息会传输到“目标”的站点地图,方便查看。
3.新建扫描:
(1)类型
爬虫与审计:同时进行爬虫和审计,主动请求网站进行审计。
爬虫:主动请求服务器访问,不进行审计。
(2)扫描设定
用户需要在扫描的速度和覆盖范围之间进行选择。
轻量:速度最快,覆盖范围最小。
快速:速度较快,覆盖范围较小。
平衡:速度适中,覆盖范围适中。
深度:速度最慢,覆盖范围最大。
(3)应用登录
当扫描过程中遇到需要登录的页面时,系统将进行自动登录。
(4)资源池:
扫描的速度可以根据目标服务器的负担进行调整,以适应不同的服务器负载情况
注意:只有BurpSuite专业版才能使用扫描模块