注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关。

一、Burp Suite简介

Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击

用来分析数据包进行测试

浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具

二、安装配置

a.安装JAVA  64位环境

https://www.java.com/zh-CN/download/

b.安装jython环境jar版本

Downloads | Jython

c.安装Jruby环境jar版本

Downloads — JRuby.org

d.设置浏览器代理

e.导入HTTPS证书

三、常见模块介绍

a.Burp Target模块

BurpSuite系列(二)----Target模块(目标模块)_码农致富的博客-CSDN博客Target功能    目标工具包含了SiteMap,用你的目标应用程序的详细信息。它可以让你定义哪些对象在范围上为你目前的工作,也可以让你手动测试漏洞的过程,Target分为site map和scope两个选项卡。选项一、Site MapSiteMap会在目标中以树形和表形式显示,并且还可以查看完整的请求和响应。树视图包含内容的分层表示,随着细分为地址,目录,https://blog.csdn.net/u011781521/article/details/54463637?ops_request_misc=&request_id=&biz_id=102&utm_term=Burp%20Target&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-4-54463637.nonecase&spm=1018.2226.3001.4187       访问网站,粗略扫描,没有针对性,可以通过issues看出大概的漏洞,也可导出报告

b.Burp Proxy模块

https://www.cnblogs.com/ljwhq/p/13946313.htmlhttps://www.cnblogs.com/ljwhq/p/13946313.html        添加代理,进行手动抓包分析问题

c.Burp Intruder模块                       burp suite四种爆破模式(Sinper、Battering ram、Pitchfork、Cluster bomb)_Fresh-eyes的博客-CSDN博客1、Sinper(狙击手) sinper主要是将bp截的包各个用$$符号标记的数据进行逐个遍历替换爆破次数=标记字段数*字典字段数量,例:标记了三处,字典为:111222333444555最终爆破次数为3*5=15,如下111、*、*,222、*、*,...*、111、*,*、222、*,............2、Battering ram(攻城槌): 这种攻击方式是将包内所有标记的数据进行同时替换再发出爆破次数=字典字段数量,例:标记3个字段,...https://blog.csdn.net/qq_18831583/article/details/122090075        密码爆破,对密码进行爆破

d.Burp Repeater模块

Burp Suite-第九章 如何使用Burp Repeater_爱编程的西瓜的博客-CSDN博客BurpRepeater作为BurpSuite中一款手工验证HTTP消息的测试工具,通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析。https://blog.csdn.net/weixin_44122303/article/details/125963888?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165980356616781647599417%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165980356616781647599417&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~pc_rank_34-7-125963888-null-null.142^v39^pc_rank_34_queryrelevant0,185^v2^tag_show&utm_term=Burp%20Repeater&spm=1018.2226.3001.4187        用于渗透测试人员进行手动测试,看返回结果

e.Burp Extender模块

BurpSuite系列(十)----Extender模块(扩展器)_码农致富的博客-CSDN博客_burp suite 安装插件一、简介Burp在软件中提供了支持第三方拓展插件的功能,方便使用者编写自己的自定义插件或从插件商店中安装拓展插件。Burp扩展程序可以以多种方式支持自定义Burp的行为,例如:修改HTTP请求和响应,自定义UI,添加自定义扫描程序检查以及访问关键运行时信息,包括代理历史记录,目标站点地图和扫描程序问题等。二、模块说明Extender主要由四个模块组成:https://blog.csdn.net/u011781521/article/details/54774027?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165980402516780366594052%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=165980402516780366594052&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-54774027-null-null.142^v39^pc_rank_34_queryrelevant0,185^v2^tag_show&utm_term=Burp%20Extender&spm=1018.2226.3001.4187        用于插件的添加,刚才配置的环境Jython和JRuby就是需要添加到这里面

web漏洞扫描器-Burpsuite 常规测试相关推荐

  1. 10大Web漏洞扫描器

    10大Web漏洞扫描器 美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重.最广泛.危害性最大的安全问题.如华为.RSA.赛门铁克.联想ThinkPa ...

  2. web漏洞扫描器原理_漏洞扫描技巧篇 「Web 漏洞扫描器」

    0x00 前言 之前我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有什 ...

  3. web漏洞扫描器原理_【技术分享】漏洞扫描技巧篇Web 漏洞扫描器

    0x00 前言 之前 我们简单介绍了一下扫描器中爬虫的部分,接下来将继续介绍扫描器中一些我们认为比较有趣的技巧. 0x01 编码/解码/协议 在很久以前有人提问 AMF 格式的请求怎么进行检测,或者有 ...

  4. 如何在MAC上安装并运行Web漏洞扫描器Arachni

    如何在MAC上安装并运行Web漏洞扫描器Arachni 如何在MAC上安装并运行Web漏洞扫描器Arachni1如何在MAC上安装并运行Web漏洞扫描器Arachni2如何在MAC上安装并运行Web漏 ...

  5. 主流WEB漏洞扫描器种类及其指纹特征分析

    文章来源于信安旅途 Tips 文章最下方有小礼品噢~ 看完文章先嘛~ 0x01 Web漏洞扫描器 国内: 绿盟(WVSS):https://www.nsfocus.com.cn/html/2019/2 ...

  6. 小陈WEB漏洞扫描器 V2.0

    小陈WEB漏洞扫描器 V2.0 小陈WEB漏洞扫描器 V2.0 https://pan.baidu.com/s/1NSmFCyxowEa3YlOuhvtwwQ 转载于:https://www.cnbl ...

  7. web漏洞扫描器原理_知名Web漏洞扫描器Acunetix Web Vulnarability Scanner

    Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞.它包含有收费和免费两种版本,A ...

  8. web漏洞扫描器原理_web应用防火墙对于网站防护有多重要!

    大型的Web应用易受多种攻击,如SQL注入和跨站脚本攻击漏洞,由此可以造成宕机时间.效率降低.数据失窃.违规罚款.品牌受损.服务中断.客户不满等.为保护Web应用程序,建议企业利用Web应用防火墙. ...

  9. WEB漏洞扫描器 – 北极熊扫描器

    北极熊扫描器是一款简单的WEB扫描器,但是功能却是非常丰富,除了基础性的二级域名检测和C段之外,额外提供了搜索引擎抓取站点.可惜的是目录扫描暂时无法跳过假的404,但支持多任务执行,支持延迟(降低速度 ...

最新文章

  1. Chrome使用技巧和编辑框拖动怪问题。
  2. Centos7安装防火墙firewall
  3. Yershop商城系统
  4. 循环增加li id_循环老化对于锂离子电池中锂和电解液分布的影响
  5. 基于js alert confirm样式弹出框
  6. C++并发 std::thread
  7. 路虎:独到所处,揽胜极致.
  8. OA协同办公系统-day01
  9. 解决Ubuntu 20.04无法播放网页音视频的问题
  10. EventEmitter练习之--匿名聊天室
  11. 全网最通俗易懂的「插屏广告」接入方法
  12. 高中计算机教学心得,高中教学心得随笔
  13. 码距与检错或纠错能力的关系
  14. 10100cpu支持Linux,i3-10100 cpu能装win7吗?i3-10100 装win7详细教程(完美支持)
  15. Week15—字典树应用,字符串包含问题
  16. 数据集:银行客户信息
  17. nodemailer如何配置公司邮箱发送邮件
  18. 全数字锁相环的基本原理
  19. 关于《石油化工可燃气体和有毒气体检测报警设计规范》GB50493-2009 的笔记
  20. 简单解释“DNA动了”是什么意思?

热门文章

  1. 基于嵌入式linux的freetype矢量字体简单显示的实现
  2. CIP数据核字号查询
  3. 软件测试用例——三角形
  4. Erupt Framework:开源神器,助你无需前端代码搞定企业级后台管理系统
  5. TM4C123G学习笔记(1)——配置Keil开发环境(TM4C123G+Keil)
  6. C++ pair 和make_pair
  7. 【每日新闻】雷军:5G+AIoT是下一代的超级互联网
  8. TaWRKY19/61/82激活糖转运蛋白TaSTP3从而增强小麦条锈病敏感性
  9. [知识总结]Dp-区间dp
  10. RTP/RTSP/RTCP 协议详解