1,敏感数据扫描(日志,代码,安装包) --- Seninfo
1.1 扫描步骤
1> 新建服务配置信息(Configure右键)
2>添加敏感数据(敏感数据表格需要使用正则表达式填写)
3>在Scan config界面,勾选上步骤一添加的服务信息,点击select选敏感数据,点击add,填写要扫描的目录(代码或者产品包存放的地址)
4>点击运行按钮Δ,在Scan Status界面可以查看扫描进度
5>扫描完成后,选中报告,点击Export,分析结果,存档为Result_T01
1.2 继承上一轮分析结果,进行下个版本的扫描
1> 清除上一轮结果:选中配置服务,右键,Clear Report
2>上传上一轮分析结果:选中配置服务,右键,Import Report,选中Result_T01上传
3>重复1.1中的内容,这样,第一轮扫过的内容,可以直接继承结果
2, 爆破工具(拦截接口,修改报文下发,DOS攻击) --- BurpSuit
2.1 拦截接口,修改报文,下发
1>修改工具和本地的代理 127.0.0.1 ,8080 (Proxy-- Option)
2> 设置URL拦截还是Response拦截,二选一
3>工具Proxy -- Intercept -- Intercept is off -- Intercept is on,界面出发接口,拦截到接口
4>Proxy -- Intercept -- Intercept is on界面,右键,Send to Repeater
5>Repeater界面,修改任意报文,下发,在对应后台检查实际接口下发情况,与界面比对
2.2 DOS攻击(付费版BurpSuit)
1> 拦截接口,右键,Send to Intruder
2> Intruder--Positions界面,点击 Clear$,选中一个可以新加该项的一个参数,点击 Add$ 按钮
3>Intruder--