BurpSuite实战指南

已于 2024-12-17 15:27:38 修改
阅读量1.2k 收藏 17
点赞数 20
CC 4.0 BY-SA版权
文章标签: pycharm ide python
于 2024-12-17 15:10:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/N123455_/article/details/144534790

目录

前言

第一章 Burp Suite 安装和环境配置

第二章 Burp Suite代理和浏览器设置

IE设置

FireFox设置

Google Chrome设置

第三章 如何使用Burp Suite代理

Burp Proxy基本使用

数据拦截与控制

第四章 SSL和Proxy高级选项

CA证书的安装

Proxy监听设置

Proxy监听设置主要包含3块功能:

第五章 如何使用Burp Intruder

Intruder使用场景和操作步骤

第六章 学习心得

前言

随着时间的流逝,我们的web渗透测试课程也渐渐接近尾声。在这门课程中我学到了不少的知识和技能如学会了信息收集、使用跨站脚本攻击客户端以及使用代理、爬虫和蜘蛛工具,接下来为大家讲解一下BurpSuite的实战指南。

第一章 Burp Suite 安装和环境配置

Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手
工地能更好的完成对 web 应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得
测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite
的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite 可执行程序是 java 文件类型的 jar 文件,免费版的可以从 免费版下载地址 进行下载。
免费版的 Burp Suite 会有许多限制,很多的高级工具无法使用,如果您想使用更多的高级功
能,需要付费购买专业版。专业版与免费版的主要区别有
1. Burp Scanner
2. 工作空间的保存和恢复
3. 拓展工具,如 Target Analyzer, Content Discovery Task Scheduler
如何从命令行启动 Burp Suite
Burp Suite 是一个无需安装软件,下载完成后,直接从命令行启用即可。但 Burp Suite 是用
Java 语言开发的,运行时依赖于 JRE ,需要提前 Java 可运行环境。如果没有配置 Java 环境或
者不知道如何配置的童鞋请参考 win7 电脑上的 Java 环境配置 配置完 Java 环境之后,首先验证
Java 配置是否正确,如果输入 java -version 出现下图的结果,证明配置正确且已完成。
这时,你只要在 cmd里执行 java -jar /your_burpsuite_path/burpSuite.jar 即可启动 Burp Suite, 或者,你将 Burp Suite的 jar 放入 class_path 目录下,直接执行 java -jar burpSuite.jar 也可以启动。
== 注意: your_burpsuite_path 为你 Burp Suite 所在路径, burpSuite.jar 文件名必须跟你下载的
jar 文件名称一致 ==

第二章 Burp Suite代理和浏览器设置

Burp Suite 代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数
据、服务器端的返回信息等。 Burp Suite 主要拦截 http https 协议的流量,通过拦截, Burp
Suite 以中间人的方式,可以对客户端请求数据、服务端返回做各种处理,以达到安全评估测
试的目的。

IE设置

Burp Suite 启动之后,默认分配的代理地址和端口是 127.0.0.1 8080, 我们可以从 Burp
Suite proxy 选项卡的 options 上查看。如图:
现在,我们通过如下步骤的设置即可完成 IE 通过 Burp Suite 代理的相关配置。
1. 启动 IE 浏览器
2. 点击【工具】菜单,选择【 Internet 】选项
3. 打开【连接】选项卡,点击【局域网设置】,进行代理设置。
4. 在代理服务器设置的地址输入框中填写 127.0.0.1, 端口填写 8080,点击【确定】,完成代理服务器的设置。
5.这时, IE 的设置已经完成,你可以访问 http://burp 将会看到 Burp Suite 的欢迎界面。

FireFox设置

IE 的设置类似,在 FireFox 中,我们也要进行一些参数设置,才能将 FireFox 浏览器的通信流
量,通过 Burp Suite 代理进行传输。详细的步骤如下:
1. 启动 FireFox 浏览器,点击【工具】菜单,点击【选项】。
2.在新打开的 about:preferences#advanced 窗口中,依次点击【高级】 - 【网络】,我们将
会看到 FireFox 连接网络的设置选项
3. 点击【设置】,在弹出的【连接设置】对话框中,找到“http代理”,填写127.0.0.1,端口
填写 8080 ,最后点击【确认】保存参数设置,完成 FireFox 的代理配置。

Google Chrome设置

Google Chrome 使用 Burp Suite 作为代理服务器的配置步骤如下:
1. 启动 Google Chrome 浏览器,在地址栏输入 chrome://settings/ ,回车后即显示 Google
Chrome 浏览器的配置界面
2. 点击底部的【显示高级设置】,将显示 Google Chrome 浏览器的高级设置。
3. 当然,你也可以直接在搜索框中输入 代理 ,回车后将自动定位到代理服务器设置功能。
4. 点击【更改代理服务器设置】, windows<
最低0.47元/天 解锁文章

200万优质内容无限畅学
Burpsuite实战指南
03-07
适用于Burpsuit初学者,burpsuit是一款非常经典的漏洞扫描工具
BurpSuite实战
韩束一叶子
05-18 957
实验所属系列:web安全 实验对象:本科/专科信息安全专业 相关课程及专业:网络安全,计算机网络 实验类别:实践实验类。
Burp Suite 全流程实战
最新发布
hello.reader
05-21 1837
Burp Suite 是 PortSwigger 出品的 Web 应用安全测试平台,集 **拦截代理、自动爬虫、漏洞扫描、模糊测试、OOB 交互、报告生成** 等功能于一体,支持完全手工测试,也能和 DevSecOps 流水线深度整合。
burpsuite 实战指南
whatday的专栏
04-19 6440
第一章 Burp Suite 安装和环境配置 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。 Burp Suite是由Ja...
burpsuite实战指南.pdf
07-02
整体来看,BurpSuite实战指南通过从基础到高级的详细指导,为渗透测试人员提供了一套全面的BurpSuite使用教程。书中不仅涵盖了BurpSuite的主要功能和高级配置,还教授如何在实际的渗透测试中综合使用这些功能来提高...
Burp Suite 实战指南_高清电子书
04-18
Burp Suite 实战指南_最新版,适合新手进阶 高清可以复制文字。
BurpSuite 实战指南.pdf 中文完整版
04-23
BurpSuite 实战指南主要是针对Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作...
Burp Suite 实战指南
12-19
Burp Suite 实战指南 文章中的内容主要源于BurpSuite官方文档和多位国外安全大牛的经验总结
burpsuite实战指南
天地沧海
08-30 1224
https://t0data.gitbooks.io/burpsuite/content/
burpsuite 实战指南 高清
01-02
web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有现在这么强大。
BurpSuite 实战指南
11-05
第一章 Burp Suite 安装和环境配置 第二章 Burp Suite代理和浏览器设置 第三章 如何使用Burp Suite代理 第四章 SSL和Proxy高级选项 第五章 如何使用Burp Target 第六章 如何使用Burp Spider 第七章 如何使用Burp Scanner 第八章 如何使用Burp Intruder 第九章 如何使用Burp Repeater 第十章 如何使用Burp Sequencer 第十一章 如何使用Burp Decoder 第十二章 如何使用Burp Comparer 第十三章 数据查找和拓展功能的使用 第十四章 BurpSuite全局参数设置和使用 第十五章 BurpSuite应用商店插件的使用 第十六章 如何编写自己的BurpSuite插件 第十七章 使用Burp Suite测试Web Services服务 第十八章 使用Burp, Sqlmap进行自动化SQL注入渗透测试 第十九章 使用Burp、PhantomJS进行XSS检测 第二十章 使用Burp 、Android Killer进行安卓app渗透测试
BurpSuite 实战指南.pdf
03-24
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。
BurpSuite+实战指南++
07-27
BurpSuite初学者必备书籍。。。。推荐下载。。。。。。。
BurpSuite实战指南》 网络安全从业人员工具指南
10-11
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。
burpsuite实战指南--如何使用burpsuite
热门推荐
蓝海
06-19 5万+
1. 学习Proxy首先看标红,intercept is on 为拦截状态  其对应的intercept is off 为非拦截状态,设置完代理后打开拦截状态,浏览器发起的请求会被burpsuite所拦截forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃此请求数据。继续请求后能够看到返回结果可以在消息分析选项卡查看这次请求的所有内容1. Raw 这个视...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值