使用Burpsuite突破js跳转
今天在测试网站的时候,发现某个网站的后台登录页面,再输入错误的账号密码之后,首先会进入后台,然后程序验证密码错误之后,再使用js将页面重定向到后台的登录页面,如果我们禁用了这个跳转的js,那么就可以直接进入后台了。当然突破js的方法比较多,比如以前使用firefox浏览器就有禁用js的功能,但是禁用js以后,后台的很多功能是无法使用的,这就需要我们找一个工具来实现禁用一小部分js代码的功能,比如去掉跳转的js,今天使用burp来禁止。
1.使用burp抓取到post错误账号密码之后的返回包,找到html body中的js重定向语句。
2.修改proxy->options里面的match and replace,将js语句替换为空即可。