這次測試遇到了些問題,踩了一些坑,爲後來者記。
本次測試遇到的主要問題是服務端要驗證sign值,sign值由sha1(salt+post data)生成,我如果要更改post data進行測試的話,就必須更新sign值。所以就編寫了一個burp小插件自動更新。在插件編寫完成後,發現存在中文亂碼導致hash值生成錯誤,這個問題問了小夥伴也沒有好的辦法,最後靈光一現解決了,如下爲解決辦法:
將burp編碼設置爲utf-8,很多教程只簡單地叫更改字體
然後在插件代碼中將body從Unicode解碼爲utf-8,問題即可解決