文章目录
一、目的
安全测试时面对大量的数据自动修改请求包、返回包中参数值,使用插件为Free Http(效果如Burp中的Match and Replace)
二、URL自动更改替换
如,将如下url地址中的e=OMGH5PageInit 替换成 e=test
将url导入到Free Http
点击请求设置
依次配置:->原始内容 ->更改内容 ->url原始参数值 ->url要更改的参数值 ->勾选匹配规则 ->开启规则
再次访问地址,url参数已经被更改
三、请求体自动替换(Request Body)-针对单个参数
自动修改请求包中的请求体(body)
(点击下方保存,自动修改暱称为:风月长情、公司为:御夜科技有限公司)
先添加一个规则修改暱称
如果两个url相同只有第一个过滤请求生效(编辑多个参数时,只有第一个生效)
四、请求体自动替换(Request Body)-针对多个参数
如果想替换多个参数的话需要使用如下配置:
整个替换,注意Url Filter的url地址处,填写部分不变的地址,否则匹配不到数据包
成功替换
五、返回体自动替换(Response Body)
点击完成,自动修改返回包中的积分为其它值(测试前端绕过逻辑漏洞)
数据包导入
选择修改返回包
url过滤类型选择Contain(包含)
返回体:
填写 >被取代的原始内容
填写 >代之的替换内容
勾选确认
开启过滤
成功替换
这里使用Uri Filter(Contain)是由于每一次请求该页面时url是变化的,对比两次:
(wsgsig是每次请求会变)
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-u8kMcIs310tMqCZYXwqT%2Bxj%2BJXDIXX1yVHZY4wuHJXDHstSmnS9T%2BMj24gtHsbVwtOxrL6R84moKk0Pqj2wO46QM4si7q0xYXLOT31R74is5m0kRX5qk%2BHp7NbS
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-Xqrd13TzJa0Q6fLeuDlkFoOQ1hXo3jTcYnSr9plT1hXp8n24QcFkE7wwIB0p8G9aygOY0NUuIqJSIc5MuGPnFRloKajO7jFGpGljaRUwIhnR7tLbujaiFyLv5Ed
这里url过滤中直接选择部分地址即可:
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=
六、说明
- 抓不到包怎么办?
需要查看URL Filter的过滤规则处是否正确(因为有的请求再次访问,url地址参数是变化的)
- 文章参考来源
https://www.cnblogs.com/lulianqi/p/10428551.html