为什么要学习原理？

通过上篇文章（【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程）的学习，我们成功配置好了靶场。如果把初来乍到的我们比作乌合之众，那么恭喜，此刻，我们已经拥有了一个相对安全的训练环境。通过在“靶场”这个训练营的不断试炼，我们将逐渐成长。待我们归来之日......虽然离无敌尚且还有很漫长的路要走，但至少，看着自己的脚下，以及之前所走过的路，我们有了一丝底气。是的，那时我们会脱离了“乌合之众”这个羞耻的头衔，成为一个不折不扣的“新兵”。咳咳，听起来是不是很激动呢？

但先别急，在开始训练之前，我们得先有一些心仪的装备辅助我们。在以后的文章里，大家也许会见识到许多常见的黑客小工具，那些是他人提前帮我们打造好的装备，使用起来方便快捷。但作为一名有梦想的“士兵”，我们怎么能直接用他人打造好的装备呢？制式化装备的确好，但问题是，如果不懂它是如何设计的，那如何才能在此基础上创新和提高呢？

举个例子，许多人用的黑客小工具就好比是一条鱼竿，用它钓起鱼来肯定很舒服，许多教程便是教你如何使用鱼竿钓鱼。但如果只知道使用却不知道原理，就无法在鱼竿断掉时修好它，更无法拥有一个真正趁手的鱼竿了。而理解了原理呢？这样的话我们就能自己造出一个趁手的鱼竿，甚至有的人还能举一反三，造出渔网来捕鱼。这样不仅钓鱼的效率得到提升，还一跃成为了鱼竿的设计者，收获的远比只知道钓鱼的鱼竿使用者要多。

讲了那么多想必大家已经明白打造自己装备的好处了吧。笔者希望通过今后的文章分享，大家能从中获得一些启发，然后相互学习，共同进步，携手让国家的安全事业得到更多的提升。

好啦，梦想的话就到这里。不过在打造属于自己的装备前，我们还需要有个“打铁”的小工具。当然，这并不需要我们动手开发，毕竟我们的根本目的是亲手制造出属于自己的装备，然后明白设计原理。至于其他的，以后有兴趣的话可以慢慢探索嘛。

使用BurpSuite进行抓包之应用程序的选取与安装

BurpSuite是针对信息安全人员打造的渗透测试工具，功能很全，但由于我们想打造属于自己的装备，因此对我们来说，主要是用这款软件来拦截和查看一些有用的数据，以便用到其他地方。当然，大家想的话也可以去尝试更多这款软件本身的功能。

不过在此之前提醒大家一下要注意安全。千万不要把它用在一些公司或个人网站上影响运营。未经授权的使用是不被允许的！请认准只在我们的靶场，这个合法的环境下使用它！这就好比士兵要进行武器训练只能在训练场地使用一样，一个好士兵是不会也不被允许在其他地方（尤其是对他人）使用武器的。我们在以后开发及使用安全工具时一定要牢记这一点。

那么接下来开始程序安装。首先是在官网下载安装包，地址是：PortSwigger的BurpSuite Community Edition

如下图，在网站上我们可以看到一个"Download"的按钮，需求我们下载前登记自己的电子邮箱地址(email address)。

【注意】我们，尤其是学安全的，一定要注意保管好自己的个人信息，像电子邮箱、姓名、电话这样的信息，如非必要，切记不得分享。如不得不分享，也可以划分不同的身份的方式来对待。比如拥有两部手机，一部用于工作，一部用于生活。特别是对搞安全的人来说，如果将工作和生活混为一谈，那么未来会因此很受困扰（工作狂可能例外）。总之，这是信息安全方面相关的一些要点，这里就暂且不细说了，也许以后有机会可以专门分享几期。回到“下载”话题。

总之，笔者不推荐大家通过这个显眼的按钮下载，因为在其下还有一段看起来不是按钮的文字：“Go Straight to Downloads”。这其实是一个不用填写信息的下载入口，我们点击下载。

这家公司故意将直接下载的按钮做成这样，也是有些让人感到无奈的。不过与有些弹窗广告的关闭按钮相比，已经算是通情达理的了......

点击下载后会出现如下图的页面。有专业版和社区版，笔者当前看到的版本号是2022.8.5，不同时间看到的版本号会有些区别，不过没关系，我们可在右下角的"All Releases"里找到以前的版本。可以看到，当前供下载的有专业版(Professional)与社区版(Community)。大家可选择适合自己的版本进行下载。笔者选择的是社区版(Community Edition)，因为通常专业版是要付费的。

这里插一句，网上可能流传有免费的专业破解版资源，但笔者还是希望大家在使用软件的时候尽量能支持正版。因为破解版总体来说是不利于互联网技术的发展的，要知道有许多优秀的软件，就是因为缺少资金支持而永久丧失了后续版本。积少成多之下，对于整个互联网行业的损失是相当可观的。除此之外，有些破解版还有中病毒的风险，即使是为了保险起见，我们也不应该寻求这样的小便宜。况且目前我们并不需要用到这款软件的太多功能，因此免费的社区版已经足够我们使用了。

完成下载后我们点击exe后缀的安装包将程序安装在喜欢的位置。然后点击图标打开应用程序，如果无法在桌面找到其位置，我们可以通过搜索快速找到它。

如果桌面找不到应用，我们可以在这里点击打开文件所在位置，找到应用程序后右键创建一个它的快捷方式，然后把快捷方式拖动到桌面来使用。

打开程序后按默认选项打开项目，社区版不支持保存专门的项目文件。不过这并不影响我们的使用，何况临时性项目(Temporary Project)还能节省我们的存储空间呢。

写得过于投入，内容可能有点多了。由于数据抓包这块还有很多要讲的篇幅，所以这篇教程暂时先写到这里，我们下篇继续：

网页链接：【网络安全学习】渗透测试篇02-数据截取教程（下）

【网络安全学习】渗透测试篇02-数据截取教程（上）相关推荐

【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程
渗透测试:通过经授权的模拟攻击,发现存在的漏洞,并以此对网络.主机.应用及数据的安全性进行评估. 靶场作用:在合法的环境下进行网络安全学习与演练目录为什么写这篇文章? 介绍及注意事项环境搭建 1 ...
视频教程-网络安全与渗透测试工程师-渗透测试
网络安全与渗透测试工程师云知梦创始人,国际架构师,11年互联网培训和开发经验,曾在港电讯盈科.北大青鸟集团.远大教育.北京易第优教育等公司任职曾获得美国红帽RHCA构架师和RHCDS数据中心讲师,在 ...
“菜鸟安服仔”必用兵器之“渗透测试篇一”
"菜鸟黑客"必用兵器之"渗透测试篇一" "菜鸟黑客"必用兵器之"渗透测试篇一" 大家好,我还是你们的老朋友"信 ...
“安服仔”必用兵器之“渗透测试篇一”
""必用兵器之"渗透测试篇一" ""必用兵器之"渗透测试篇一" 大家好,我还是你们的老朋友"信息安全我来讲你来 ...
信息安全学习----渗透测试知识点
信息安全学习----渗透测试知识点信息收集服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮 ...
什么是渗透测试？如何学习渗透测试？
渗透测试是网络安全体系中细分的就业方向之一,该岗位对实操经验.技术水平要求较高,必须通过专业的培训才可以满足企业用人需求.因此为了快速成为一名专业的渗透测试工程师,大部分人都会选择参加培训.那么什么是 ...
Kali渗透测试：网络数据的嗅探与欺骗
Kali渗透测试:网络数据的嗅探与欺骗无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析,就可以掌握渗透的原理. 另外,很多网络攻击的方法也都是发送 ...
小白也能看懂：最全无线渗透测试与攻防+Fluxison钓鱼教程+路由器安全设置指南 2021.3.31
小白也能看懂:最全无线渗透测试与攻防+Fluxison钓鱼教程+路由器安全设置指南 2021.3.31 一. 无线AP的加密方式 WEP加密 WPA-PSK/WPA2-PSK加密 WPS加密二. 无 ...
网络安全进阶篇（十一章-7）APP渗透测试篇（下）
每日一句:重启可以解决很多问题,如虚拟机问题,模拟器问题等等,本文章的一些操作不成功的话,重启试试一.快速自建一个App 1.App难写吗?(1) ~问:我不懂Java我能写App吗? 答:我觉得大 ...

【网络安全学习】渗透测试篇02-数据截取教程（上）

为什么要学习原理？

使用BurpSuite进行抓包之应用程序的选取与安装

【网络安全学习】渗透测试篇02-数据截取教程（上）相关推荐

最新文章

热门文章