安全测试时面对大量的数据自动修改请求包、返回包中参数值,使用插件为Free Http(效果如Burp中的Match and Replace)
如,将如下url地址中的e=OMGH5PageInit 替换成 e=test 将url导入到Free Http 点击请求设置 依次配置:->原始内容 ->更改内容 ->url原始参数值 ->url要更改的参数值 ->勾选匹配规则 ->开启规则 再次访问地址,url参数已经被更改
自动修改请求包中的请求体(body) (点击下方保存,自动修改昵称为:風月长情、公司为:御夜科技有限公司) 先添加一个规则修改昵称 如果两个url相同只有第一个过滤请求生效(编辑多个参数时,只有第一个生效)
如果想替换多个参数的话需要使用如下配置: 整个替换,注意Url Filter的url地址处,填写部分不变的地址,否则匹配不到数据包 成功替换
点击完成,自动修改返回包中的积分为其它值(测试前端绕过逻辑漏洞) 数据包导入 选择修改返回包 url过滤类型选择Contain(包含) 返回体: 填写 >被取代的原始内容 填写 >代之的替换内容 勾选确认 开启过滤 成功替换
这里使用Uri Filter(Contain)是由于每一次请求该页面时url是变化的,对比两次: (wsgsig是每次请求会变) https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-u8kMcIs310tMqCZYXwqT+xj+JXDIXX1yVHZY4wuHJXDHstSmnS9T+Mj24gtHsbVwtOxrL6R84moKk0Pqj2wO46QM4si7q0xYXLOT31R74is5m0kRX5qk+Hp7NbS
https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=&wsgsig=dd03-Xqrd13TzJa0Q6fLeuDlkFoOQ1hXo3jTcYnSr9plT1hXp8n24QcFkE7wwIB0p8G9aygOY0NUuIqJSIc5MuGPnFRloKajO7jFGpGljaRUwIhnR7tLbujaiFyLv5Ed
这里url过滤中直接选择部分地址即可: https://quartz.xiaojukeji.com/volcano/quartz/goods/info?source_id=
需要查看URL Filter的过滤规则处是否正确(因为有的请求再次访问,url地址参数是变化的)
文章参考来源https://www.cnblogs.com/lulianqi/p/10428551.html
