用他自己的话说,斯特克是“你的朋友告诉你的那个黑客”。换句话说,他是一个内容创作者,在IT行业拥有超过25年的经验。他创建教育,教程和评论视频,以帮助其他人更普遍地学习和发展他们在虫子赏金狩猎和Infosec方面的技能。由于他自豪地(并经常)将自己描述为“ Burp Suite Fanboy”,因此我们认为这是我们联系的时候了。
斯特克指出,作为回溯又名kali linux的经常用户,他遇到了Burp Suite很早就与我们一起发行Burp Suite Community Edition。他说,他记得该产品主要是因为这个名字Burp,他声称在许多其他带有听起来平淡无奇的软件中,他脱颖而出是“听起来很有趣”。
“说实话,我真的从来没有使用过。当时的网络不是我的游戏。”beplay体育能用吗
想象场景。这是在果阿(印度)的温暖,平静的夜晚。它以其万花筒融合的文化融合而闻名,它标志着一个人让整个世界转身的理想场所。
斯特克(StökYouTube频道,当他与Jobert Abma聊天时hackerone。乔伯特通过Web应用程序的一些基础向他展示了beplay体育能用吗五边形,并演示了他如何使用Burp Suite入侵网络。beplay体育能用吗他发现了站点地图,如何设定目标,打击者, 和Burp Repeater。斯特克说,那天,他的生活改变了。
“这是一见钟情,从那时起,我几乎每天都使用Burp Suite。”
在使用Burp Suite和产品的各种功能之后,Stök想尝试自己的第一次Boun Bounty Adventure。他选择了种族条件作为他选择的脆弱性,并且由于需要进行完整的Burp入侵者迭代,因此意识到Burp Suite Community Edition从来都不适合他。他用一个Burp Suite专业人士许可证,几周后,获得了他的第一个赏金 - 比赛条件。
作为一个从头开始学习Burp Suite的人,而没有来自基于网络的背景的支持,我们想问Stök,对于任何希望获得抢手的初学者来说,他的主要技巧将是什么。beplay体育能用吗他分享了一些不同的事情,这些事情在此过程中帮助了他。
1.Stök描述了主持自己的实例Burp合作者作为“以多种方式获胜”。他遇到了许多情况,在这些情况下,他能够使用自己的领域渗透,但没有通过主要的合作界,因为这通常被目标所阻止。
2.他都是关于热键命令的。他个人最喜欢的是“ ctrl + r =发送到中继器”。
3.渴望确保他控制自己在做什么Burp Suite,他建议从启动时的“用户选项”菜单禁用拦截。
4.谈到Burp Repeater,他建议您不需要一次打开40,000个标签。他建议简单地为您的工作命名标签,并使用背面和前向按钮,因为您的所有请求都存储在下拉列表中。
5.如果您想使用打击者要测试种族条件漏洞,请使用“无效有效载荷”重复发送相同的请求。
6.他建议,当使用“搜索”功能突出感兴趣的内容时,将其与Flow和Logger ++等工具中的请求结合在一起。他声称,用户还获得了“额外的积分”来检查“正则”框,并使用正则搜索!
7.Stök描述了“生成CSRFpoc”为“很棒”,说这是一种非常有用的(非常懒惰的!)使用AutoSubmit创建POC来展示影响的方法,而不仅仅是CSRF。
由于Stök几乎每天都与Burp Suite Professional合作,因此我们有兴趣了解他在产品中最受欢迎的工具。他的获胜组合是Burp合作者,,,,Burp Repeater, 和打击者。他还发现bapp存储非常有用。
任何使我的生活更轻松并在可能想念的事情上通知我的任何扩展对我来说都是无价的。
他有一系列经常使用的BAPP扩展名,如下:
•Burp Bounty Pro
•Hunt Scanner Redux
•ta亵者
•涡轮入侵者
•流动
•Logger ++
•自动化
•汽车中继器
•上传扫描仪
在最初成功获得种族条件赏金后,斯特克花了一些时间与Burp Suite合作,以微调他的虫子赏金狩猎工具包。最初,他被动地记录了他感兴趣的东西,然后使用Burp的广泛工具库将自定义模板添加到主要感兴趣的项目中。
他对盲人外界脆弱性的深厚兴趣意味着举办自己的Burp合作者实例至关重要。他还使用了许多BAPP扩展名,包括涡轮入侵者比赛,ta亵者为了他的所有Burp合作者请求,和自动化识别不安全的直接对象参考(文物)。
斯特克说,他既幸运又幸运地找到了许多XML外部实体(XXE)注入脆弱性以及一些严重的信息披露在多个目标和程序上。他无法透露任何目标,但自由地承认,如果没有Burp Suite,他永远无法找到并利用漏洞。
我们向斯特克(Stök)询问了他向新的Burp Suite用户提供的一条建议,希望涉足Bounty Bounty Hunting。他的回答?
就像生活中的其他任何事情一样,您练习的越多,就会变得越好。
确实是明智的话,我们不同意自己的同意。他还建议任何新手的人都不是愚蠢的beplay体育能用吗网络安全学院- 他的话不是我们的话!
