文章目錄
一、目的
安全測試時面對大量的數據自動修改請求包、返回包中參數值,使用插件爲Free Http(效果如Burp中的Match and Replace)
二、URL自動更改替換
如,將如下url地址中的e=OMGH5PageInit 替換成 e=test
將url導入到Free Http
點擊請求設置
依次配置:->原始內容 ->更改內容 ->url原始參數值 ->url要更改的參數值 ->勾選匹配規則 ->開啓規則
再次訪問地址,url參數已經被更改
三、請求體自動替換(Request Body)-針對單個參數
自動修改請求包中的請求體(body)
(點擊下方保存,自動修改暱稱爲:風月長情、公司爲:御夜科技有限公司)
先添加一個規則修改暱稱
如果兩個url相同只有第一個過濾請求生效(編輯多個參數時,只有第一個生效)
四、請求體自動替換(Request Body)-針對多個參數
如果想替換多個參數的話需要使用如下配置:
整個替換,注意Url Filter的url地址處,填寫部分不變的地址,否則匹配不到數據包
成功替換
五、返回體自動替換(Response Body)
點擊完成,自動修改返回包中的積分爲其它值(測試前端繞過邏輯漏洞)
數據包導入
選擇修改返回包
url過濾類型選擇Contain(包含)
返回體:
填寫 >被取代的原始內容
填寫 >代之的替換內容
勾選確認
開啓過濾
成功替換
這裏使用Uri Filter(Contain)是由於每一次請求該頁面時url是變化的,對比兩次:
(wsgsig是每次請求會變)
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-u8kMcIs310tMqCZYXwqT%2Bxj%2BJXDIXX1yVHZY4wuHJXDHstSmnS9T%2BMj24gtHsbVwtOxrL6R84moKk0Pqj2wO46QM4si7q0xYXLOT31R74is5m0kRX5qk%2BHp7NbS
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-Xqrd13TzJa0Q6fLeuDlkFoOQ1hXo3jTcYnSr9plT1hXp8n24QcFkE7wwIB0p8G9aygOY0NUuIqJSIc5MuGPnFRloKajO7jFGpGljaRUwIhnR7tLbujaiFyLv5Ed
這裏url過濾中直接選擇部分地址即可:
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=
六、說明
- 抓不到包怎麼辦?
需要查看URL Filter的過濾規則處是否正確(因爲有的請求再次訪問,url地址參數是變化的)
- 文章參考來源
https://www.cnblogs.com/lulianqi/p/10428551.html