問題タブ [burp]

アプリケーションプロキシ (burp や zap など) で動作する Websocket 接続を持っている人はいますか?

たとえば、私のローカル マシンで完全に動作する jWebSockets の動作バージョンがあります。

しかし、Burp または Zap でインターセプトすると、接続がタイムアウトし、サーバーからの応答が返されません。

サーバー側のタイムアウト設定を増やしましたが、違いはありません。

また、非表示のプロキシ オプションを使用してみました。

ありがとうございました。

burp-suites を自動プロキシとして使用して、drakma の発信トラフィックを調査したいと考えています。

しかし、https リクエスト drakma シグナル (より正確には cl+ssl drakma が使用するもの) を作成すると、クラッシュします:

=>

このエラーの意味 (cl+ssl の適切なドキュメントが見つからなかったため) と、これを修正/防止する方法を知りたいですか?

アプリケーションのすべての出力がエンコードされていることを確認するために、セキュリティ テスト フレームワークを開発する必要があります。

多くの投稿があり、http リクエストを取得しています

各リクエストには 1 つまたは複数のパラメータが含まれる場合があります

JMeterでやりたかったこと：

値を文字列に変更して、各パラメーターを個別にテストする必要があります。したがって、2 つのリクエスト、それぞれ 5 つのパラメーターがある場合、5 回実行する必要があります。さらに、応答データを検証するためのアサーション ポイントを用意します。

私が持っていたいくつかのアイデアは、すべての http リクエストを記録することでした。JMX ファイルから、リクエストの詳細、パラメーター、および値を含むスプレッドシートを作成します。リストを調べて、各値を文字列値 CANARY123!@#$%^& (に変更します。次に、応答データに CANARY123!@#$%^& ( が含まれていないことと、実際にエンコードされて戻ってきたことを確認します。実行します。データ行ごとにテストします。

また、これらが役立つかもしれないと考えました：カウンター、正規表現、ユーザー変数...

このタスクに JMeter を使用する必要がありますか? もしそうなら、どのように？Burp Suite のようなものを使用する必要がありますか?

げっぷ拡張機能の開発時にげっぷスキャナーが完了したかどうかをテストする方法を知っている人はいますか?

スキャナーにフックするげっぷ拡張機能を開発しています。スキャナーの完了後に結果を表示したいと考えています。スキャナーが完了したかどうかをテストする方法がわかりません。

前もって感謝します

HTTP パケットをキャプチャし、変更してサーバーに転送するための単純なげっぷ拡張機能を作成しようとしています。セキュリティテストのためにこれを行う必要があります。受信したパケットを印刷するだけのコードから始めました。さまざまな Burp チュートリアルから取得した以下のコードを添付します。Eclipse プロキシを localhost に設定してから、このコードを実行しました。コードは問題なく動作し、Burp は正しく開き、パケットもインターセプトしますが、IDE コンソールに何も表示されません。私は Burp にかなり慣れていないため、オンラインで利用できるヘルプからあまり理解できませんでした。

コードで傍受されたパケットを取得して転送する方法を知りたいだけです。