Kali Linux Web 滲透測試視頻教程— 第二課 google hack 實戰

Kali Linux Web 滲透測試—

第二課 代理簡介

文/玄魂

課程地址: http://edu.51cto.com/course/course_id-1887.html

目錄

shellKali Linux Web 滲透測試—... 1

第二課代理簡介... 1

課程目錄... 2

Proxy基本原理... 2

正向代理(Forward Proxy)3

反向代理（reverse proxy）... 3

透明代理（transparente proxy）... 3

Kali linux中的代理工具... 4

Mitmproxy. 4

Burp Suite. 4

Owasp-zap. 5

Paros. 5

Proxystrike. 5

Vega. 6

Webscarab. 6

 

課程目錄

 

     Proxy基本原理

     Kali linux中的代理工具

 

Proxy基本原理

正向代理(Forward Proxy)

l   訪問本無法訪問的服務器

l   Cache作用

l   客戶端訪問授權

l   隱藏訪問者的行蹤

 

反向代理（reverse proxy）

透明代理（transparente proxy）

Kali linux中的代理工具

Mitmproxy

l   a man-in-the-middle proxy

l   Intercept HTTP requests and responses and modify them on the fly.

l   Save complete HTTP conversations for later replay and analysis.

l   Replay the client-side of an HTTP conversations.

l   Replay HTTP responses of a previously recorded server.

l   Reverse proxy mode to forward traffic to a specified server.

l   Transparent proxy mode on OSX and Linux.

l   Make scripted changes to HTTP traffic using Python.

l   SSL certificates for interception are generated on the fly.

l   And much, much more.

Burp Suite

l   Burp Suite 是用於攻擊web 應用程序的集成平台。

l   代理–Burp Suite帶有一個代理,通過默認端口8080上運行，使用這個代理，我們可以截獲並修改從客戶端到web應用程序的數據包.

Owasp-zap

l   OWASP Zed Attack Proxy Project攻擊代理（簡稱ZAP），是一款查找網頁應用程序漏洞的綜合類滲透測試工具。它包含了攔截代理、自動處理、被動處理、暴力破解、端口掃描以及蜘蛛搜索等功能。

l   OWASP ZAP為會話類調試工具，調試功能對網站不會發起大量請求，對服務器影響較小。

Paros

l   paros proxy，這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單字段等項目。它包括一個Web通信記錄程序，Web圈套程序(spider)，hash 計算器，還有一個可以測試常見的Web應用程序攻擊(如SQL注入式攻擊和跨站腳本攻擊)的掃描器。該工具檢查漏洞形式包括：SQL注入、跨站點腳本攻擊、目錄遍歷等。

Proxystrike

l   Plugin engine (Create your own plugins!)

l   Request interceptor

l   Request diffing

l   Request repeater

l   Automatic crawl process

l   Http request/response

l   history Request

l   parameter stats Request

l   parameter values stats

l   Request url parameter signing and header field signing

l   Use of an alternate proxy (tor for example ;D )

l   Sql attacks (plugin)

l   Server Side Includes (plugin)

l   Xss attacks (plugin)

l   Attack logs

l    Export results to HTML or XML

Vega

l   Vega是一個開放源代碼的web應用程序安全測試平台，Vega能夠幫助你驗證SQL注入、跨站腳本（XSS）、敏感信息泄露和其它一些安全漏洞。 Vega使用Java編寫，有GUI，可以在Linux、OS X和windows下運行。Vega類似於 Paros Proxy, Fiddler, Skipfish and ZAproxy。

Webscarab

l   WebScarab一款代理軟件，包括HTTP代理，網絡爬行、網絡蜘蛛，會話ID分析，自動腳本接口，模糊測試工具， WEB格式的編碼/解碼，WEB服務描述語言和SOAP解析器等功能模塊。WebScarab基於GNU協議，使用Java編寫，是WebGoat中所使用的工具之一。

課程地址: http://edu.51cto.com/course/course_id-1887.html

ps：對此文章感興趣的讀者，可以加qq群：Hacking:303242737;Hacking-2群：147098303；Hacking-3群：31371755；hacking-4群:201891680;Hacking-5群：316885176