web安全系列3：http拦截

这是web安全系列第三篇，我们讲讲HTTP请求的拦截。关于http的内容请翻看我的上一篇文章。

首先，我们开始需要一个安装好的java环境，64位的。请自行安装和配置环境变量，如果遇到问题可以留言评论，我会考虑出一篇安装这些环境的。

紧接着我们需要Burp Suite Proxy软件，这是黑客常用的软件之一，是web黑客的首选武器！大家可以自行下载，也可以在某企鹅的绿色软件公众搜索非攻IT回复web安全，所有的软件都可以找到。如有问题可以评论反馈。

结合着安装包中的教程，我们下载后，研究一番（破解）后，大概看到的界面是下面这样的。

我们可以看到上方有一排选项卡，希望读者自行去了解这个软件，在这里，我们只会用到哪里讲到哪里，后期可能会出一个系列。

那么我们今天要用的是Proxy模块，即代理模块。下面一起看看。

首先，我们点选proxy选项卡，接着选择options，在proxy listeners模块会出现Add、Edit和Remove。选择Add，在Bind to port中输入端口号即是我们用来拦截的端口，尽量在4000之后，确保端口没有被启用。之后选择Loopback only，然后选择OK。

之后，我们就要在浏览器进行操作了。我们以chrome为例，在设置中找到高级，再找到打开代理设置。

在弹出的选项卡下点击局域网设置，之后按下图操作

其中，127.0.0.1代表本机，8081是刚刚设置的端口号（我的和你的可能不一样），之后一路确定加应用，这样我们的拦截就配置完成了。不信的话你随便输入一个网址打开，是不是很久都没有反应？

再回到BurpSuit，看看。选择proxy中的intercept，我们看到的就是那个网站发过来给我们的，只是没有通过浏览器组装成为漂亮的网页而已。如果想关闭拦截，我们即将intercept on点选成intercept off即可。

很多人会问通过拦截能够干什么，这学问就大了。很多人不知道黑客面对的是什么，其实很多时候就是这样一些http请求，我们通过分析网站的漏洞，改动这些拦截下来的信息就能够成功突破网站的防火墙，进入进入网站内部。

这些我们会在后面的章节进行介绍，同时，拦截软件不仅仅有我们介绍的这款，还有很多优秀的软件，你们可以自行查找学习，后面有机会我也会介绍一些。

如果上面有什么不对的地方欢迎指正。有什么不明白的也欢迎大家留言。

（以上软件和教程仅供学习交流使用，遵守法律人人有责！）