安全矩阵

 找回密码
 立即注册
搜索
查看: 482|回复: 0

请求头注入神器 -- BurpHeaderHelper

[复制链接]

251

主题

270

帖子

1783

积分

金牌会员

Rank: 6Rank: 6

积分
1783
发表于 2023-1-11 20:11:19 | 显示全部楼层 |阅读模式
转载于:MaskCyberSecurit Web安全工具库 2023-01-08 08:00 发表于河南

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。



*0x01 工具介绍*

BurpHeaderHelper是基于Burpsuite的插件,通过自定义规则的来对Http请求头进行增删改操作。

*0x02 安装与使用*

1、加载插件: Extender -> Burp Extensions -> Add -> Select File... -> Next -> BurpHeaderHelper-xxx.jar

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LDVSOdT3-1673439060902)(https://mmbiz.qpic.cn/mmbiz_png/8H1dCzib3Uibt5kzZEoibdagdymT1y1TkHqIOdickSTcMlIDHC881UUsGSy5uDCATvlCRgqWbAAAuF2cEItAvtSiaRw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1)]2、在Burp拦包时候发现浏览器总会有携带一些不必要的头信息(或许吧!),通过一些浏览器的插件可以去除这些头信息,但是实际的情况是总会有这些冒出来(可能是插件不给力或者我使用方式不对?)!


3、编写规则来去除 Sec-Ch-Ua-Mobile Sec-Ch-Ua-Platform Sec-Fetch-Site 这几个头信息,并点击状态为启用。


在Repeater模块上重放数据包


在服务器上查看对应的请求,可以看到相应的几个头信息都被去除。


编写完规则后,要进行保存,这样下次启动时将加载配置。




0x03 项目链接下载

1、通过阅读原文,到项目地址下载

2、关注公众号web安全工具库,后台回复:工具

3、每日抽奖送书

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 14:54 , Processed in 0.012846 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表