1.5 安全测试工具

1.5.1 Burp Suite

1.修改十六进制编码

Inspector能够快速查看与编辑HTTP和WebSocket报文，而无须在不同选项卡之间切换。可以从Burp Suite报文编辑器右侧的可折叠面板中访问Inspector，如图1-63所示。

Inspector中的HTTP报文参数显示的值是从HTML、URL和Base64中自动解码的，并且将请求和响应的参数、Cookie显示为一对键值，阅读起来更加轻松。另外，修改不可见的字符这项功能在实战上传漏洞绕过时比较常用，可以在报文任意的位置添加或选择一个占位符，再将占位符修改成十六进制。例如，将空格Hex表示形式20修改为80，然后单击下方的Apply changes按钮即可，如图1-64所示。

2.捕获本地地址数据包

SwitchyOmega默认设置Burp Suite代理后，抓取不到本地请求的流量，其他地址都是正常的。在情景模式设置中，从不代理的地址列表中删除127.0.0.1和localhost仍然无法正常抓包，解决办法是在不代理的地址列表中添加<-loopback>，如图1-65所示。

3.安装Wsdler插件

Wsdler是Burp Suite的一个插件，专门用于分析和测试WebService服务定义的WSDL语言文件。在.NET中，这个文件通常保存在*.asmx?wsdl路径下，描述了Web服务的功能和接口。该插件可以在BApp Store下安装，如图1-66所示。

安装后打开Burp Suite的Proxy选项卡，在请求报文空白处右击，可以使用“Parse WSDL”功能，如图1-67所示。

4.安装ViewState Editor插件

Burp Suite的ViewState Editor插件是一款用于编辑和分析.NET Web应用程序中的ViewState数据的工具。ViewState是.NET Web应用程序中的一种机制，用于在Web页面之间保留和传输页面状态信息。ViewState Editor插件的安装如图1-68所示。

在Burp Suite的Proxy选项卡中打开拦截到的请求内容，ViewState通常包含在Web页面的请求中，在MAC认证未开启的情况下，响应页插件会自动解码ViewState编码的数据，返回“MAC is not enabled”，如图1-69所示。

目前大多数的.NET服务端默认会开启MAC认证，因此响应页插件无法正常解码ViewState数据，会返回“Unrecognized format-may be encrypted”，如图1-70所示。