烏魚子

問題起源: 設定BurpSuite的Proxy，如何讓HTTPS可以正常運作？ 設定步驟: 1. 查詢 BurpSuite 的 Proxy Port 2. 設定 HTTP/HTTPS 的 Proxy 3. 連結網址 http://burp/ ，然後點擊「 CA Certificate 」下載憑證「 cacert.der 」 4. 執行「 cacert.der 」，這時會跳出加入憑證的視窗，在 Keychain 的地方選擇「 System 」。 5. 然後因為雖然匯入憑證，但是還需要另外設定信任此憑證，因此，還需要另外到「 Applications 」 => 「 Utilities 」 => 「 Keychain Access 」去做調整。 6. 然後再「 System 」的地方可以找到「 PortSwigger CA 」，就是我們剛剛匯入的憑證，但是這時可以從他的圖示看出他其實還未受信任。 7. 點擊「 PortSwigger CA 」，進入憑證，在「 Secure Sockets Layers(SSL) 」選擇「 Always Trust 」即完成。 8. 設定完成後，可以從圖示原本的紅色圖示已經改變。 9. 然後我們可以實際去連使用 HTTPS 的網站，就不會再跳出憑證錯誤的訊息，也可以進一步去確認所使用的憑證，以 chrome 為例，右鍵選擇「 Inspect 」 => 「 Security 」 => 「 View certificate 」，做憑證的檢視。 10. 這邊如果可以看到所使用的憑證為「 PortSwigger CA 」也就是剛剛匯入的憑證，就是正確的。 如果是顯示如下，那表示你根本沒有用 Proxy 啊ＸＤＤＤ 以上，做一個簡單的步驟記錄。      

URL(Uniform Resource Locator , 統一資源定位符)編碼 ，或稱 Percent-encoding ，也用於application/x-www-form-urlencoded(下面稍微解釋一下它是什麼)。 目錄: application/x-www-form-urlencoded說明 Percent-encoding的保留字元 Percent-encoding可直接使用之字元 中文編碼 小結 參考資料 application/x-www-form-urlencoded說明 這個是HTTP Post Request的Header欄位Content-Type的設定(如下圖)，主要是針對要發出去的Request內容的編碼方式。 Percent-encoding的保留字元 轉換方式，基本上就是該符號的UTF-8編碼，然後前面替換成[%]即可，這些保留字元主要是因為在URL中有特殊用途，因此，予以保留: Percent-encoding可直接使用之字元 可以不用另外編碼的包含: 英文字母 數字 -  (連字號) . (句號) _ (下劃線) ~ (波浪號) 中文編碼 也如同保留字元的編碼方式，先轉換成UTF-8的編碼，然後將前面替換成[%]即可，例如: 天 => \xE5\xA4\xA9 => %E5%A4%A9  小結 拜強大的瀏覽器所賜，在打網址的時候，我們完全不用考慮編碼問題，可以直接輸入特殊符號、中文等，不過在測試的時候，這些都是需要去注意的點。 參考資料 https://zh.wikipedia.org/wiki/统一资源标志符 https://zh.wikipedia.org/wiki/Help:URL https://zh.wikipedia.org/wiki/百分号编码 https://tools.ietf.org/html/rfc3986 https://en.wikipedia.org/wiki/POST_(HTTP)