Burp Suite 基础知识(一)

2019/03/11 00:26
阅读数 65

  
前言

大家好,我是小白,下面开始我的表演,以下内容如有雷同纯属巧合,靴靴。  (鞠躬

学到什么就写什么,可能有点乱哈。

Burp Suite 是一款用于攻击 web 应用程序的集成平台,包含了许多工具,设置了不同的模块和接口,且模块功能之间是互通关联的。

安装运行

Burp Suite 使用 Java 开发的,运行时需要依赖于 Java 运行环境,因此需要安装 jdk 。

Burp Suite 肥宅快乐版:https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg   提取码:yyry 

下载后直接安装使用,妈妈再也不用担心我的学习,so easy~

jdk 安装环境就傻瓜式操作,配置一下环境变量,在系统变量 path 中加上 jdk 的 bin 目录路径。

最后,设置代理服务器,以下是 Google 浏览器代理设置步骤:

打开浏览器设置---->高级设置------>打开代理设置。

 

应用场景

(以下几行文字源自B视频)

1.HTTP服务端接口测试

2.HTTP客户端和HTTP服务端通信测试

3.cookie统计分析

4.HTTP服务器web安全扫描

5.web常用编码和解码

6.web页面爬取

7.字符串随机性简单分析

8.文件差异对比分析

 

使用教程

默认情况下,burp suite 只会拦截请求的消息,如果想要拦截其他类型,可以手动设置。

勾选以下拦截选项进行修改。

啊对了,建议重新调整下字体,因为是用英文开发,所以中文字体显示时可能会出现乱码。

以下选项修改字体大小和字体样式。

 

Burp Suite 模块介绍

Target(目标)

site map(站点地图)

左侧会显示所有通过服务器代理的url,右侧显示所访问url的详尽信息。

 

 

Target Scope 

勾选使用高级范围控制 (大概是这么翻译的叭=.=)

包含两部分功能:包括范围、去除范围。

 

 

proxy(代理)

简单画了下 proxy 的作用:

Intercept(截断)

默认情况下显示为“intercept is on”,处于拦截功能状态,在浏览器输入URL并回车,经过burp的数据流量将会被拦截不发送,点击“forward”传输本次数据,“drop”丢弃本次数据。

 

Raw

显示web请求的raw格式,并且可以手工修改其中的信息。

 

HTTP history 截取数据流量的历史记录。

options 可选项配置。

 

Intruder

可以在原始请求的基础上,修改各种请求参数。

使用步骤:

1.完成浏览器的代理设置。

2.在proxy下关闭拦截功能。

3.HTTP history中找到存在问题的请求URL,右击选择发送到intruder。

4.清除自动默认选择的猜测或破解信息的位置。(也可以手工选择、添加位置)

 

position下选择攻击类型

payload

 

最后回到position页面,点击stack attack ,发起攻击。

Scan

略。。好吧,我的肥仔快乐版里没有这个模块,肥仔失去快乐。

 

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部