私はウェブアプリケーションのセキュリティを学ぼうとしていますウェブ(バグのある Web アプリケーション) は、Windows マシンで Xampp を使用してホストされています。ブラウザでプロキシ ( 127.0.0.1:8080) を適切に構成し、Burp Suite でアラートを取得しました。
アンインスタントバープスイートスターターガイドでは、例外フィールドを完全に空にすることを推奨しています。Firefox では、デフォルトで例外フィールドlocalhost, 127.0.0.1に値がNo Proxy For:入っています。ガイドに従うためにエントリを削除すると、ブラウザで bWAPP ログイン ページにアクセスできなくなりますlocalhost/bWAPP/login.php。
localhost に例外がある場合、ブラウザでは正常に動作しますが、Burp Suite は関連するトラフィックを一切取得しません127.0.0.1。
全体の構成に問題があるのでしょうか、それとも何かが欠けているのでしょうか?
答え1
Burp Suite のターゲット スコープ ホスト フィールドにポートを入力しないようにしてください。たとえば、「localhost:8081」と入力しないでください。代わりに、ホスト フィールドに「localhost」を入力し、ポート フィールドに「8081」を入力します。
答え2
Firefoxブラウザタブにabout:configと入力し、no_proxies_onを検索し、値からコンテンツを削除します。
UI の「プロキシなし」フィールドを編集すると、この値が自動的に変更されるはずですが、何らかの理由で、UI の値がこの設定と同期していませんでした。現在、根本的な原因をデバッグ中です。
答え3
about:config に移動し、network.proxy.allow_hijacking_localhost を true に変更します。
答え4
このシナリオでは、ルーターに割り当てられた IP アドレスを使用して、 で実行されているアプリのトラフィックを傍受できますlocalhost。
例: 192.168.1.156
アプリがポート番号 80 でホストされている場合は、 でブラウザでアプリを参照しますhttp://192.168.1.156/。Burp Suite は、ローカルホストでホストされているアプリからのトラフィックを確実に取得して傍受します。
次のコマンドで IP アドレスを取得できます。
- Windowsの場合:
ipconfig - Linuxの場合:
ifconfig