burpsuite 默认会启用一个 8080 端口,但不仅仅是代理。
http://127.0.0.1:8080/history
访问这个地址可以查看到经过 burp 的所有流量包,如果 bind-address 选的是 all interface 的话就可以直接从内网中访问这个地址(测过 App 的基本上都会开启这个)。
=========
关闭 history 接口的方法(thanks @CplusHua)
Proxy -> Options -> Disable web interface at http://burp
phith0n | 2015-02-25 13:37
不幸言中了……good job
RedFree (11:11 11-11-1112 |※(器杀制自) | 2015-02-25 13:52
在我开代理的9000端口测试成功。
Croxy | 2015-02-25 13:54
躺。。
Fire ant | 2015-02-25 13:55
挂
过客 | 2015-02-25 14:10
fiddler 没有这问题
covertops (爱 上 乌云) | 2015-02-25 17:19
http://drops.wooyun.org/tools/1548里面有句话:
“注意:如果监听器绑定到所有接口或特定的非loopback接口,那么其他计算机可能无法连接到该侦听器。这可能使他们发起出站连接,从您的IP地址发起,并以访问代理服务器历史的内容,其中可能包含敏感数据,如登录凭据。你应该只启用此当你位于一个受信任的网络上。”
原来是这么个意思啊,表示没仔细看过,躺。。
zph | 2015-02-25 17:27
还真是。。
郭斯特 (c# php winform) | 2015-02-25 18:04
猴西雷。之前一直没发现,学习了。
mramydnei (一个逗逼运维) | 2015-02-25 18:07
哈哈 这个神躺枪啊
啊L川 | 2015-02-25 18:09
涨知识了
麻辣烫 | 2015-02-25 20:04
呵呵~~
牛肉包子 (这个包子,牛肉馅。) | 2015-02-25 20:13
已躺枪!
CplusHua | 2015-02-25 21:40
….人家官方文档说了。。
CplusHua | 2015-02-25 21:46
勾选这个可以关闭该功能
看风者 | 2015-05-25 17:44
感谢,正打算写自动提取的功能,又在纠结要不要去看插件手册,这个就方便了
_Evil (科普是一种公益行为) | 2015-08-10 10:00
嗯
