精确判断网站访问者是否是黑客的方法(转)

burpsuite 是一个渗透测试中必备的抓包工具，几乎每个做渗透的都会用这个软件。对于一个网站来说，网站的访问者如果挂了 burpsuite 的代理来访问网站，那多半是不怀好意的。如果能识别出来访问者使用了 burpsuite 那就可以直接丢进蜜罐。

当使用 BurpSuite 代理时是可以访问到 http://burp/ 这个地址的

该服务提供了证书的下载和从浏览器发送请求和查看响应等功能, 其其在一个标识位置就是有 favicon 图标, 因此可以通过检测此图标是否存在来判断, 但是直接获取会产生跨域问题, 所以可以使用 img 之类的标签进行检测

<img src="http://burp/favicon.ico" onload="alert('found burp')" >
<img src="http://burp/favicon.ico" onload="alert('found burp')" >

当检测到使用 BurpSuite 后, 要做的就是给服务器发送请求, 标记当前访问者是一个攻击者, 并将其引入蜜罐中

使用 /image/feedback.png 用来标记访问者。

最后在拦截器检测访问者有没有被标记，如果被标记到就引入蜜罐。

如果要想不被发现还可以再把代码写复杂一点，加点混淆，插入到 jQuery 的代码里。

之后挂着 burp 去访问 index.html 它就会检测到我使用了 burp 并向 feedback.png 发送标记请求。

ByPass