Web漏洞扫描器—Burp Suite
Burp Suite—常规操作
抓包分析软件
从安装到使用抓包分析软件
一、Burp Suite—简介
Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite 是用于攻击web应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并且能够处理对应的HTTP消息、持久性、认证、代理、日志、警报。
Burp Suite 是我们渗透测试人员在工作中最常用的工具,用来分析数据包进行测试。
二、Burp Suite—原理
浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具
三、Burp Suite—安装配置
1、安装Java 64位环境
https://www.java.com/zh_CN/download/
2、安装 jython 环境 jar 版本
https://www.jython.org/downloads.html
3、安装 Jruby 环境 jar 版本
https://www.jruby.org/download
4、设置浏览器代理
5、导入 HTTPS 证书
四、常用模块介绍
在渗透测试常用到的模块
1、Burp Target模块
查看目标整体情况,以及可能存在的攻击面,包含目录爬行等信息
教程链接:https://blog.csdn.net/u011781521/article/details/54463637
2、Burp Proxy模块
综合的分析数据模块,提供历史数据以及代理配置选项
教程链接:https://blog.csdn.net/u011781521/article/details/54426967
3、Burp Intruder模块
自动化测试工具,在渗透测试中常常使用该模块进行模糊测试等情况
教程链接:https://blog.csdn.net/weixin_44037296/article/details/102781785
4、Burp Repeater模块
手工验证HTTP消息的测试,用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析
教程链接:https://blog.csdn.net/u011781521/article/details/54772846
5、Burp Extender模块
Burp自带的第三方插件库,允许用户自己添加以及下载
教程链接:https://blog.csdn.net/u011781521/article/details/54774027
6、Burp Decoder模块
教程链接:https://blog.csdn.net/u011781521/article/details/54773780
五、Burp Suite—插件利用检测
1、插件的安装
1、安装 python 环境
2、安装 sqlmap
3、添加环境变量
4、下载 sqlmap.jar 扩展包:http://pan.baidu.com/s/1skDVwq5 密码:ce5f
4、burp 加载插件
2、XSS插件的安装
1、Phantomjs 下载:http://phantomjs.org/download.html 配置环境变量,把bin目录下的exe加入环境变量,文件放在python script目录下
2、安装 xssValidator BApp Store
3、下载 xss.js 下载地址为:https://github.com/nVisium/xssValidator
4、利用 phantomjs 运行xss.js C:
3、XSS插件和Burp使用
1、配置插件
2、抓包发送到 Intruder
3、配置 payload s为 xssValidator
4、配置 Intruder options 的 grep - match
5、开始
4、开源的插件项目
Burp Suite 的强大除了自身提供了丰富的可供测试人员使用的功能外,其提供的支持第三方拓展插件的功能也极大的方便使用者编写自己的自定义插件。Burp Suite 支持的插件类型有 Java、Python、Ruby 三种。无论哪种语言的实现,开发者只要选择自己熟悉的语言,按照接口规范去实现想要的功能即可。
1、BApp Store 插件商店下载
2、开源插件项目github:https://github.com/search?utf8=%E2%9C%93%q=burp
5、抓取手机APP数据包
使用模拟器安装App应用,使用 Burp 抓取手机数据包
教程链接:https://blog.csdn.net/qq_23066945/article/details/103008400
6、配置监听IP
教程链接:https://blog.csdn.net/YIGAOYU/article/details/105382966
Web漏洞扫描器—Burp Suite相关推荐
- 通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二) 1
一.背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘.工具挖掘.代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存 ...
- 10大Web漏洞扫描器
10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...
- web漏洞扫描器原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描器
0x00 前言 之前 我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有 ...
- 主流WEB漏洞扫描器种类及其指纹特征分析
文章来源于信安旅途 Tips 文章最下方有小礼品噢~ 看完文章先嘛~ 0x01 Web漏洞扫描器 国内: 绿盟(WVSS):https://www.nsfocus.com.cn/html/2019/2 ...
- web漏洞扫描器原理_漏洞扫描技巧篇 「Web 漏洞扫描器」
0x00 前言 之前我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有什 ...
- 小陈WEB漏洞扫描器 V2.0
小陈WEB漏洞扫描器 V2.0 小陈WEB漏洞扫描器 V2.0 https://pan.baidu.com/s/1NSmFCyxowEa3YlOuhvtwwQ 转载于:https://www.cnbl ...
- 如何在MAC上安装并运行Web漏洞扫描器Arachni
如何在MAC上安装并运行Web漏洞扫描器Arachni 如何在MAC上安装并运行Web漏洞扫描器Arachni1如何在MAC上安装并运行Web漏洞扫描器Arachni2如何在MAC上安装并运行Web漏 ...
- web漏洞扫描器-Burpsuite 常规测试
注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关. 一.Burp Suite简介 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成 ...
- web漏洞扫描器原理_web应用防火墙对于网站防护有多重要!
大型的Web应用易受多种攻击,如SQL注入和跨站脚本攻击漏洞,由此可以造成宕机时间.效率降低.数据失窃.违规罚款.品牌受损.服务中断.客户不满等.为保护Web应用程序,建议企业利用Web应用防火墙. ...
最新文章
- u盘安装centos8黑屏_崩溃!电脑突然黑屏无法启动
- matplotlib的安装
- 5G 与边缘计算的发展现状(2021 年 6 月)
- Google 菜市场(Android Market)上不去的解决方法
- 高并发编程-自定义带有超时功能的锁
- (数据挖掘 —— 无监督学习(聚类)
- C#中timer类的用法
- Golden Master Pattern :一种在.NET Core中重构遗留代码的利器
- React-引领未来的用户界面开发框架-读书笔记(一)
- Android AlertDialog创建过程详解
- SQL 比较全的银行列表、带名称缩写、带银行logo
- linux nohup 命令详解
- 2022研究生数学建模ABCDEF思路
- 第1讲(数据库软件的配置与游戏数据库的搭建)
- Android锁屏勒索病毒分析(4)秒抢红包
- 小程序报错 Invalid regular expression: invalid group specifier name
- 网络安全学习第15篇 - 游戏内存修改
- python测试用例发送邮件用谷歌浏览器的方式
- 黑苹果论坛被封_Hackintosh (黑苹果) 折腾
- 小啊呜产品读书笔记001:《邱岳的产品手记-08》第15讲 产品案例分析:Mimo与LearnPython的导学之趣 第16讲 在内部产品中找到产品经理的价值