这是关于运用 Postman 进行浸透测验系列文章的榜首部分。我本来计划只发布一篇文章,但最终发现内容太多了,假如不把它分红几个部分的话,很或许会让读者手足无措。 所以我的计划是这样的: 在这篇文章中,我将向你介绍怎么设置 Postman 并运用它来宣布惯例恳求。 在第2部分,我会让你经过 Burp Suite 署理 Postman 的 *** 流量。 在第3部分中,咱们将介绍 Postman 的更高档的用法,包含更高雅地处理无记名令牌(Bearer Token)和环境变量。 在第4部分中,我将介绍一两个能够真实增强 Postman 浸透测验作用的 Burp 插件。
在这个年代,Web 和移动应用程序一般是由 RESTful *** 服务供给支撑的。 公共和私有 API 在互联网上十分遍及,测验这些 API 绝非易事,但有一些东西能够协助你。 尽管(一般用与浸透测验)东西不能代替技术,但即使是最娴熟的木匠也能用锤子比用鞋子更有效地钉钉子。
Postman 便是这样一个东西,它在开发者中现已流行了很多年。 在咱们进入怎么设置它的主题之前,咱们先来快速介绍一下这个东西是什么以及能够做什么。 Postman 是一个商业桌面应用程序,可用于 Windows、 Mac OS 和 Linux。 它的大部分功用是免费的,也有付费的功用,比方供给协作和文档功用。 与浸透测验人员比较,这些特性对开发人员更有意义。 它用于办理测验各种 API 调用的 HTTP 恳求调集,以及包含变量的环境。 它并不能代替你的署理(如:Burp,ZAP,Mitmproxy 等等) ,可是实际上弥补了浏览器和客户端应用程序层缺失的功用。 关于这款东西首要的代替计划是开源东西 Insomnia 和高档 REST 客户端,商业产品 SoapUI,或建立在 Swagger/Swagger UI 或 curl 的自定义东西。
设置 Postman
在其官方网站上(https://www.getpostman.com,)能够找到 Postman,供给 Windows 和 MacOS 的装置程序,以及 Linux 的 tar 包。 它也能够在 Ubuntu 的 Snap for Ubuntu ( HTTPs://snapcraft.io/postman )和其他社区保护的 repos 中找到,比方 Arch Linux 的 AUR。 设置它的榜首步当然是程序装置。
在榜首次发动 Postman 时,你会看到一个屏幕,提示你创立一个帐户,注册谷歌,或许用现有的凭据进行登录。 但是, Postman 并不需求一个帐户来履行后续的运用。
登录的帐户用于协作/同步/等; 这些是付费的功用。正如我前面说到的,这几个功用关于开发人员来说很棒,但对你来说,或许并不关怀。 事实上,假如你一般需求对你的客户端机械能保密,就像咱们在 Secure Ideas 所做的工作,那么你或许明确地不期望将你的项目同步到另一个第三方服务器。
假如你垂头看窗口的底部,你会看到一些浅灰色的文字,上面写着越过登录,直接把我带到了应用程序界面。 点击这个灰色的链接,你将移动到下一个屏幕——一个提示你创立东西的对话框。
有几个部分你不会在这儿运用到,所以让咱们看看你真实关怀的三个功用:
· 调集(Collection)——一个你能够用恳求填充的通用容器。 它还能够作为一些装备挑选的尖端方针,比方身份验证规矩(Authentication rules) ,咱们稍后将对其进行具体阐明。
· 恳求(Request)——这个是最首要的功用。 这些是你即将构建的 HTTP 恳求,运用你想要运用的任何办法、HTTP Body等。 这些有必要一直在一个调集中。
· 环境(Environment) ——这儿能够保存你期望在某个当地操控并宣布跨恳求乃至跨调集所运用的变量。
运用 Postman 的基本知识
是时分创立咱们的榜首个 Postman 调集并宣布 HTTP 恳求。
左上角的 New 按钮一般用于创立调集和恳求。 让咱们首要创立一个调集。 这有点像一个独自的应用程序。 你将用于对相关恳求进行分组。
调集还能够作为具有身份验证指令的尖端项,这些身份验证指令将对单个恳求进行承继。 现在,只需给它起个姓名,然后点击创立按钮就行了。 这儿,我起的姓名是“测验调集”。
默许情况下,你现已打开了一个未命名的恳求选项卡。 让咱们来看看 UI 的这一部分。
1. 活动选项卡
2. 此恳求的称号。 这仅仅一些描述性的称号,你能够写也能够不写。
3. HTTP 办法。 这个下拉控件答应你更改此恳求的办法。
4. 恳求的 URL。 这是完好的途径,就像在你的浏览器的地址栏相同。
5. 用于设置恳求的各种特点的选项卡式界面,包含参数、HTTP 头、HTTP 主体等。
6. 发送按钮。 这实际上是将恳求提交到指定的 URL。
7. 保存按钮。 榜首次单击此选项时,你需求指定你的调集,由于恳求有必要归于某个调集。
我在 HTTP://localhost:4000 上设置了一个示例方针,所以我将从填写这个恳求并保存到我的某个调集作为开端。我将宣布一个 POST 恳求,到 HTTP://localhost:4000/legacy/auth ,没有任何参数(这是一个测验 API。 任何人都能够经过身份验证)。 当我点击保存按钮时,我将命名恳求并为它挑选一个调集,如下图所示:
然后单击"保存到测验调集"(依据你的调集称号进行调整)按钮来保存我的恳求。 现在,单击 Send 按钮将宣布恳求。 然后我将看到呼应填充在窗口的下窗格中,如下图所示:[1][2][3]黑客接单网