Sha*_*son 6 firefox proxy interception burp
虽然我可以并且确实将Burp代理Firefox用于远程 Web 服务器,没有任何问题,但我似乎无法让它在本地网络上与我在本地服务器上托管的测试 Web 应用程序一起工作。
Burp无法看到来自这些请求的流量。我缺少什么?这里相关问题中建议的一些解决方案根本没有帮助我。
And*_*ris 12
长话短说
要使用较新版本 (>=67) 代理localhost(和相关地址)Firefox,首选项network.proxy.allow_hijacking_localhost(可通过页面访问about:config)必须设置为true。
有关为何Mozilla决定对本地主机使用特定规则的详细信息;
2018 年,Jann Horn报告了一个重大安全漏洞。根据他的报告,绑定 Web 服务器localhost然后使用主机标头检查来防止DNS 重新绑定攻击的应用程序应该受到保护,免受恶意外部流量的影响,即使网络本身是恶意的。当时,localhost在代理决策方面并没有受到区别对待Firefox。这意味着攻击者可以滥用Web 代理自动发现 (WPAD) 协议来获得在http://localhost>:*/*. 因此,攻击者能够执行同源XMLHttpRequest (XHR) (例如,如果代理关闭,则http://localhost>:*/*通过让代理自动配置 (PAC)文件指定为后备)。DIRECT
2019 年,Mozilla 的开发人员决定在配置页面中创建并“隐藏”上述首选项,以保护缺乏经验的用户。该修复最终在版本 67中发布。
| 归档时间: |
|
| 查看次数: |
926 次 |
| 最近记录: |