Chrome瀏覽器密碼存儲機制
谷歌瀏覽器加密後的密鑰存儲於%APPDATA%…\Local\Google\Chrome\User Data\Default\Login Data”下的一個SQLite數據庫中。那麼他是如何加密的呢,通過開源的Chromium。
BURPSUITE使用介紹
功能區介紹:
- Target(目標): 顯示目標目錄結構。
- Proxy(代理): BurpSuite設置代理,抓取數據包。用於攔截HTTP/S的代理服務器,作爲瀏覽器和目標應用程序之間的中間件,允許你攔截、查看、修改兩個方向上的原始數據流。
- Spider(蜘蛛): Burp Suite的蜘蛛功能是用來抓取Web應用程序的鏈接和內容等。
- Scanner(掃描器):高級工具,它能自動地發現Web應用程序的安全漏洞。主要用來掃描Web應用程序漏洞,發現常見的web安全漏洞,但會存在誤報的可能。
- Intruder(入侵):一個定製的高度可配置工具,可以對Web應用程序進行自動化攻擊和暴力猜解,如:枚舉標識符,收集有用的數據,以及使用fuzzing技術探測常規漏洞。
- Repeater(中繼器): 對數據包進行重放(手動操作來觸發單獨的HTTP請求),分析服務器返回情況和響應,判斷修改參數的影響。
- Sequencer(會話):用來檢查Web應用程序提供的會話令牌的隨機性,分析那些不可預知的應用程序會話令牌和重要數據項的隨機性,並執行各種測試。
- Decoder(解碼器): 對數據進行加解密操作,包含url、html、base64等等。
- Comparer(對比):用來執行任意兩個請求、響應或任何其它形式的數據之間的比較,通常是通過一些相關的請求和響應得到兩項數據的一個可視化的“差異”。
- Extender(擴展): 加載Burp Suite的擴展,使用你自己的或第三方代碼來擴展Burp Suite的功能。
- Options(設置): 對Burp Suite的一些設置,如burp、字體、編碼等。
- Alerts(警告):用來存放報錯信息的,用來解決錯誤。
使用火狐瀏覽器的話可以下載foxyproxy管理代理服務器,無需每次手動去後臺更改
target
該功能主要用於查看網站的目錄及元素,Scope主要是配合Site map做一些過濾的功能。
proxy
1.Intercept模塊(抓包)
該模塊主要是控制抓取到的數據包,用於顯示修改HTTP請求及響應內容,並可以將攔截的HTTP請求快速發送至其他模塊處理。
forward:用於手動發送數據。(當前所需要的http請求編輯完成後)
drop:將該請求包丟棄
intercept is on/off:攔截開關
action:功能菜單,與右鍵菜單內容相同,將數據包發送到其他模塊進行其他操作。