Burpsuite 的一个安全问题 -- WooYun(白帽子技术社区) -- 网络安全资讯、讨论，跨站师，渗透师，结界师聚集之地又一个有意思的地方

当前位置：WooYun(白帽子技术社区) >> 我们都是猥琐流 >> Burpsuite 的一个安全问题

Burpsuite 的一个安全问题

Sogili (.) 长短短 (.)

| 2015-02-25 13:29

burpsuite 默认会启用一个 8080 端口，但不仅仅是代理。

http://127.0.0.1:8080/history
访问这个地址可以查看到经过 burp 的所有流量包，如果 bind-address 选的是 all interface 的话就可以直接从内网中访问这个地址（测过 App 的基本上都会开启这个）。

=========
关闭 history 接口的方法（thanks @CplusHua）
Proxy -> Options -> Disable web interface at http://burp

分享到：

15 个回复

1#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

phith0n (我也不会难过你不要小看我) | 2015-02-25 13:37

不幸言中了……good job
2#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

RedFree (‮11:11 11-11-1112 |※(器杀制自) | 2015-02-25 13:52

在我开代理的9000端口测试成功。
3#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Croxy | 2015-02-25 13:54

躺。。
4#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Fire ant | 2015-02-25 13:55

挂
5#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

过客 | 2015-02-25 14:10

fiddler 没有这问题
6#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

covertops (爱上乌云) | 2015-02-25 17:19

http://drops.wooyun.org/tools/1548里面有句话：
“注意：如果监听器绑定到所有接口或特定的非loopback接口，那么其他计算机可能无法连接到该侦听器。这可能使他们发起出站连接，从您的IP地址发起，并以访问代理服务器历史的内容，其中可能包含敏感数据，如登录凭据。你应该只启用此当你位于一个受信任的网络上。”
原来是这么个意思啊，表示没仔细看过，躺。。
7#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

zph | 2015-02-25 17:27

还真是。。
8#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Sogili (.) 长短短 (.) | 2015-02-25 17:38

@zph 点开可以看到完整的包
9#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

郭斯特 (c# php winform) | 2015-02-25 18:04

猴西雷。之前一直没发现，学习了。
10#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

mramydnei | 2015-02-25 18:07

哈哈这个神躺枪啊
11#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

啊L川 (我想起那天下午夕阳下的奔跑,那是我逝去的青春...) | 2015-02-25 18:09

涨知识了
12#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

麻辣烫 | 2015-02-25 20:04

呵呵~~
13#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

牛肉包子 (这个包子，牛肉馅。) | 2015-02-25 20:13

已躺枪！
14#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

CplusHua | 2015-02-25 21:40

....人家官方文档说了。。
15#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

CplusHua | 2015-02-25 21:46

勾选这个可以关闭该功能
16#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

看风者 | 2015-05-25 17:44

感谢，正打算写自动提取的功能，又在纠结要不要去看插件手册，这个就方便了
17#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2015-08-10 10:00

嗯

Burpsuite 的一个安全问题

添加新回复

WooYun(白帽子技术社区)

其它内容