对于目前大多数WEB系统都是可以直接使用工具进行直接扫描进行安全测试,但也有一些接口做了签名。如APP一般使用签名http报文,一般使用HASH或AES等。
下面介绍简单介绍HASH签名http报文安全测试。
1、首先,在Burp suite抓到http或https报文,发送到Intruder
2、在Positions设置好参数:Attack type:Pitch fork
在Payloads 设置参数,如下图需要hash加密参数放在一个文件里。(一般hash是参数+key,在文件可对目标参数进行拼接)。在payload processing 选择对应的hash方法即可;当然payload process还内置了其他参数处理模块。
测试结果:
AES 的http报文签名安全测试,一般需要手写插件。