問題タブ [burp]

http://portswigger.net/burp/help/suite_gettingstarted.htmlの手順に従って、burp をインストールし、リスナーをセットアップしました。

現在、burp リスナーをプロキシとして使用するように Firefox を構成しようとしています。そのページの指示に従いました。ドキュメントと私が設定した方法との唯一の違いは、プロキシ設定に到達するためにわずかに異なるパスを使用したことです。(編集 -> 設定 -> 詳細設定 -> ネットワーク)

ドキュメントに従って、http プロキシを 127.0.0.1:8080 に設定しました。

リクエストを送信すると、最初のリクエストがげっぷリスナーに届きます。しかし、それを通過させると、Firefoxペインにこれ​​が表示されます

私は自分の構成を非常によく見てきました。「1」を落としていないことは間違いありません。

ここで何がうまくいかないのでしょうか？

burp スイートを使用して、プラグイン Advanced Rest Client と、Advanced Rest Client によって呼び出される sinatra アプリケーションで行う呼び出しをインターセプトしています。

システム全体のプロキシとして設定しましたが、それでもChromeによる呼び出しのみを傍受します:(

何か案が？

Burp Tool と Firefox を使用しています。

これが攻撃です。

私はこの攻撃を 2 つの方法で実行します。

• Burp Suite リピータ ツールを使用します。

  GET /xssWebsite/?aParameter=<script>alert('XSS');</script>

  その他の http ヘッダーが含まれています。

  取得された応答が含まれています<script>alert('XSS');</script>

• Firefoxを使用して同じことを達成しようとしたとき。

  Firefox はリクエストを送信する前に URL をエンコードします。したがって、レスポンスには実行されないエンコードされたスクリプトも含まれます。

burp のようなツールを使用して、このタイプの xss 攻撃を悪用できますか?

シナリオ ：

げっぷにログ機能が欲しかったので、次のようにして有効にしました：

[オプション] タブ --> [その他] タブ --> [ログ]

チェックボックスをクリックすると、ログ機能が正常に動作します。

私の質問 ：

次回バープを開くときは、ログ設定をデフォルトで有効にしたいと考えています。端末からげっぷを開始するときに渡すことができるように、構成ファイルでオプションを設定するにはどうすればよいですか。

PS私はBurp Pro v 1.6でUbuntu-14.04（32ビット）を使用しています。ubuntu で作成される burp.conf ファイルはありません。

どんな助けでも大歓迎です。

Burp Suite をセットアップして、HTTP リクエストを改ざんし、認証に Kerberos を使用する .NET アプリケーションに対してセキュリティ脆弱性スキャンを実行できるようにしようとしています (つまり、Kerberos をサポートする Windows 統合認証のみ)。IE でアプリに通常どおりアクセスするには、Credential Manager を使用して一連の資格情報を Windows に追加します。これにより、認証時に資格情報が使用されます。Burp Suite をセットアップし、リクエスト/レスポンスがブラウザから通過するのを確認できますが、Burp Suite は Authorization ヘッダーを自動的に更新しないため、Repeater/Scanner でリクエストを改ざんすることはできません。

私は Fiddler が Kerberos をサポートしていることを知っているので、Burp を Fiddler にチェーンすることを考えました。最初に、改ざんを Fiddler で機能させることができることを確認しました (このリンクをガイドとして使用)。次に、Fiddler を Burp のアップストリーム プロキシに設定しましたが、Burp でリクエストを改ざんすると、リクエストの発行時に 401 Unauthorized が返されました。

Burp で Kerberos 認証を行う方法について他に何か考えはありますか?