Http 重复请求(使用Burp套件或类似工具)

Http 重复请求(使用Burp套件或类似工具),http,oauth,burp,Http,Oauth,Burp,我有一个应用程序,它使用OAuth让用户登录Linkedin 有一个问题是,应用程序或浏览器连续快速向linkedin发送两个OAuth请求,导致linkedin在毫秒内返回两个响应 这两个重复请求最终在数据库中创建了两个用户 这里的主要保护措施是添加DB端验证以防止出现这种情况,但希望能够首先重新生成此问题 我正在使用Burp Suite拦截返回我的应用程序的请求。一旦我截获了请求,如何在几毫秒内将请求重播两次 此外,是否有更好的方法拦截返回的请求并快速重播以重现我的问题 谢谢 你可以在打嗝套

我有一个应用程序,它使用OAuth让用户登录Linkedin

有一个问题是,应用程序或浏览器连续快速向linkedin发送两个OAuth请求,导致linkedin在毫秒内返回两个响应

这两个重复请求最终在数据库中创建了两个用户

这里的主要保护措施是添加DB端验证以防止出现这种情况,但希望能够首先重新生成此问题

我正在使用Burp Suite拦截返回我的应用程序的请求。一旦我截获了请求,如何在几毫秒内将请求重播两次

此外,是否有更好的方法拦截返回的请求并快速重播以重现我的问题


谢谢

你可以在打嗝套件中和入侵者一起做。您可以将请求发送到入侵者模块(右键单击请求并“发送到入侵者”),然后您可以在不重要的头中选择一个字符,因为入侵者必须更改请求中的某些内容,以使其重复该请求。 之后,在有效载荷选项卡中,将在有效载荷位置选择的值添加到有效载荷选项列表中。通过这种方式,Burp将发送两个请求,一个是原始请求,另一个是您添加的值(但是如果您使用相同的值,那么它本质上是相同的)


如果一切就绪,则使用“入侵者”菜单中的“开始攻击”启动入侵者。

您可以在Burp Suite中使用入侵者启动攻击。您可以将请求发送到入侵者模块(右键单击请求并“发送到入侵者”),然后您可以在不重要的头中选择一个字符,因为入侵者必须更改请求中的某些内容,以使其重复该请求。 之后,在有效载荷选项卡中,将在有效载荷位置选择的值添加到有效载荷选项列表中。通过这种方式,Burp将发送两个请求,一个是原始请求,另一个是您添加的值(但是如果您使用相同的值,那么它本质上是相同的)

如果一切就绪,则使用“入侵者”菜单中的“开始攻击”启动入侵者。

在循环中重复请求 Burp入侵者可以利用提供的有效载荷进行各种模糊攻击。打嗝中继器可以重复请求。然而,如果您需要在循环中一次又一次地重复某个请求,那么下面是实现这一点的技术。这是通过具有“空有效载荷”的打嗝入侵者完成的

  • 在代理选项卡中选择您的请求,然后单击“发送到入侵者”

  • 在入侵者中,在位置选项卡中单击“清除”以清除所有位置。我们不想为任何位置提供有效载荷,只需重复请求即可

  • 在有效载荷选项卡中,选择有效载荷类型:“空有效载荷”。在“有效负载选项”的下一节中,选择“无限期继续”。这将生成无限多的有效负载,但由于我们没有指定任何位置,因此有效负载不会应用于请求中的任何位置。如果要重复特定次数的请求,请在“生成有效负载”框中输入一个数字。然后它只会循环那么多次

  • 4.然后开始攻击。

    在循环中重复请求 Burp入侵者可以利用提供的有效载荷进行各种模糊攻击。打嗝中继器可以重复请求。然而,如果您需要在循环中一次又一次地重复某个请求,那么下面是实现这一点的技术。这是通过具有“空有效载荷”的打嗝入侵者完成的

  • 在代理选项卡中选择您的请求,然后单击“发送到入侵者”

  • 在入侵者中,在位置选项卡中单击“清除”以清除所有位置。我们不想为任何位置提供有效载荷,只需重复请求即可

  • 在有效载荷选项卡中,选择有效载荷类型:“空有效载荷”。在“有效负载选项”的下一节中,选择“无限期继续”。这将生成无限多的有效负载,但由于我们没有指定任何位置,因此有效负载不会应用于请求中的任何位置。如果要重复特定次数的请求,请在“生成有效负载”框中输入一个数字。然后它只会循环那么多次

  • 4.然后开始攻击