BurpSuite

BurpSuite 是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以 互相协作,在BurpSuite这个框架下进行各种强大的,可订制的攻击/扫描方案。安全人员可以借用它进行半自动的网络安全审计,开发人员也可以使用它 的扫描工具进行网站压力测试与攻击测试,以检测Web应用的安全问题。

BurpSuite下载与安装

BurpSuite使用Java语言写成,也就意味着它可以运行于各种平台,当前的最新版本为1.6,每个用户一年的费用为299$

代理设置

和各种浏览器的抓包工具一样,BurpSuite也提供了抓包功能,它的工作方式为在浏览器和网站之间做了代理,先进到Proxy-Options选项卡,编辑代理的地址与端口。——当然你也需要在浏览器上设置代理为此地址。

我们可能只希望针对某个网站进行抓包,在下面的设置中,添加一个规则,只拦截特定的数据包。——通常这不是必须的,毕竟我们很少在分析一个网站时浏览其它网页。

修改数据包

设置好一切后,到Proxy-Intercept选项,打开Intercept,然后博主在贴吧发了个贴子,可以看到一个数据请求已经被拦截下来了,此时我们可以修改数据包的内容,或者直接点击转发,此时重新加工的数据包才会被真正的发往服务器。

使用爬虫

在Target选项卡可以看到所有通过BurpSuite代理的数据包和网站列表,点击任意一个列表可以选择使用爬虫爬下这个网站。

BurpSuite抓取到的网站资源

针对参数的测试

表现出BurpSuite强大的测试工能的就是Intruder工具了,它可以使用预先定义的一个列表来尝试某几个参数——在XSS测试与SQL注入测试中尤其有用,有经验的安全人员通常会有一个常用的测试列表。

设置好一个HTTP请求后,需要被尝试的关键字使用$$符号包含起来,BurpSuite就会认为这是一个要尝试的变量。

对应的参数尝试列表需要在Options中设置,也可以从一个文件中导入。这里我们编辑了几个测试例子。

选择菜单栏的Intruder Attack就可以开始了,BurpSuite会依次对每个参数尝试列表中的字段。

此外,BurpSuite还有专门用于发送数据包的Repeater和编码/解码的Decoder等等工具,当前有部分是需要购买专业版的。熟练使用它可以高效的进行Web Test。

BurpSuite的使用总结相关推荐

  1. 经验分享 | Burpsuite抓取非HTTP流量

    使用Burp对安卓应用进行渗透测试的过程中,有时候会遇到某些流量无法拦截的情况,这些流量可能不是HTTP协议的,或者是"比较特殊"的HTTP协议(以下统称非HTTP流量).遇到这种 ...

  2. JAVA逆向反混淆-追查Burpsuite的破解原理(转)

    0x00 摘要: 本系列文章通过对BurpLoader的几个版本的逆向分析,分析Burpsuite的破解原理,分析Burpsuite认证体系存在的安全漏洞. 0x01 JD-GUI的用途与缺陷: JD ...

  3. burpsuite 设置https_新手教程:如何使用Burpsuite抓取手机APP的HTTPS数据

    * 本文原创作者:smartdone,本文属FreeBuf原创奖励计划,未经许可禁止转载 1.所需条件· 手机已经获取root权限 · 手机已经成功安装xposed框架 · 电脑一台 2.详细步骤 2 ...

  4. Burpsuite学习(4)

    burpsuite spider模块通过跟踪 HTML 和 JavaScript 以及提交的表单中的超链接来映射目标应用程序,它还使用了一些其他的线索,如目录列表,资源类型的注释,以及 robots. ...

  5. BurpSuite实例教程讲解

    很久以前就看到了Burp suite这个工具了,当时感觉好NB,但全英文的用起来很是蛋疼,网上也没找到什么教程,就把这事给忘了.今天准备开始好好学习这个渗透神器,也正好给大家分享下.(注:内容大部分是 ...

  6. BurpSuite日志分析过滤工具,加快SqlMap进行批量扫描的速度

    BurpLogFilter 一个python3写的,用于过滤BurpSuite日志的小程序 A python3 program to filter BurpSuite log file. WHY? 为 ...

  7. burpsuite collaborato模块简介 dns log、http_https log、smtp_smtps log

    Burp suite Pro自从v1.6.15版本开始引入了一种名为Burp Collaborator的模块,该模块的作用简单的说就是集合了DNS log, http_https log和smtp_s ...

  8. burpsuite 实战指南

    目录 第一章 Burp Suite 安装和环境配置 如何从命令行启动Burp Suite 如何设置JVM内存 大小 IPv6问题调试 第二章 Burp Suite代理和浏览器设置 Burp Suite ...

  9. Burpsuite+SQLMAP绕过Token保护(Burpsuite Macros应用)

    0×00 带有token 保护的应用 有这样的一个应用(自己写的一个, 后面会附上代码),你手动去注入的时候,发现是有注入点的 加上一个单引号,报错了 确实是有注入 但是用sqlmap跑的时候却没有 ...

最新文章

  1. UA OPTI501 电磁波 经典电动力学中的Fourier方法基础
  2. Python Tornado
  3. 【转摘】Word提升效率的快捷键
  4. php编程怎么和mysql链接_php编程怎么和mysql连接
  5. 微信小程序+微信公众号开发总结
  6. 没有bug队——加贝——Python 51,52
  7. php格式转换rar,如何在PHP中创建压缩的RAR文件?
  8. android投屏到电脑
  9. STM32CubeMX+ETH+DP83848+Lwip 成功ping通(基于stm32F107开发板)
  10. Boston Dynamics实验:机器狗对垒真小狗
  11. 985、211外,你还应该清楚这些高校联盟!
  12. 计算机二级打字的速度有要求么,打字速度几个要求和技巧
  13. Chapter1 Numpy基础
  14. bzoj 3811: 玛里苟斯
  15. PayPal收款流程
  16. 菌群分析Linux,Qiime1-13.菌群组成与指标相关性分析(自带命令及MaAslin)
  17. Flutter自定义 TabBar
  18. rv1126_rv1109移植opencv with ffmpeg for rtsp
  19. python带你制作一个gequ下载器,海量gequ免费听
  20. SCARA四轴机器人丝杆花键_SCARA机器人专用滚珠丝杆花键

热门文章

  1. cocos2dx 学习代码记录
  2. Android分辨率适配layout布局的问题
  3. #查找文件中是否有eee如果没有在最后加入
  4. Qt学习之路(29): 绘图设备
  5. 新建QQ群-欢迎加入
  6. 淘宝的人工封IP技术真好玩
  7. html设置表格平分,如果未知数量,如何在HTML表格中均匀分配列宽?
  8. Kali Linux 2017.3发布了
  9. Visual Studio警告IDE0006的解决办法
  10. iOS 9应用开发教程之iOS 9新特性