《Web安全攻防 渗透测试实战指南 》 学习笔记 (三)

最新推荐文章于 2025-10-22 15:24:39 发布
原创 最新推荐文章于 2025-10-22 15:24:39 发布 · 691 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文是《Web安全攻防 渗透测试实战指南》学习笔记的第三部分,重点介绍了Burp Suite这款集成化渗透测试工具。内容包括Burp Suite的安装、配置,以及Scanner模块的漏洞扫描、Intruder模块的自动化攻击、Repeater模块的请求响应分析、Compararer模块的差异比较和Sequencer模块的应用。通过实例展示了如何使用这些工具进行Web安全检测和渗透测试。

Web安全攻防 渗透测试实战指南   学习笔记 (三)

有关本书的其他学习笔记请移步以下链接~

 

Web安全攻防 渗透测试实战指南   学习笔记 (一)

https://www.cnblogs.com/0yst3r-2046/p/10931927.html

Web安全攻防 渗透测试实战指南   学习笔记 (二)
https://www.cnblogs.com/0yst3r-2046/p/11012714.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (三)
https://www.cnblogs.com/0yst3r-2046/p/11012808.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (四)
https://www.cnblogs.com/0yst3r-2046/p/11020428.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (五)
https://www.cnblogs.com/0yst3r-2046/p/11563606.html
 

  • burp suite详解

                                                是一款集成化渗透测试工具(java编写,因此运行时依赖JRE,需要安装Java环境才可以运行)

 

安装JDK过程网上教程很多,可以根据自己需要的版本和操作系统来安装。

若在cmd中输入java -version  回车后返回版本信息则说明已经正确安装。

配置环境变量(参考网上教程)

若在cmd中输入javac  回车后返回帮助信息,则说明正确配置了环境变量。

 

下载好的burp不需要安装,直接双击burploader.jar即可。

 

 

burpsuite是以拦截代理的方式,拦截所有通过代理的网络流量(例如:客户端的请求数据、服务器端的返回信息)。

主要拦截http和https协议的流量

以中间人方式对客户端的请求数据、服务端的返回信息做各种处理。

 

基本配置以及Burpsuite常用模块例如proxy、spider 、decoder已经在此篇文章解释清楚

https://www.cnblogs.com/0yst3r-2046/p/10998657.html

 

下面讲解burpsuite的其他重要模块~

 

 

进阶

 

1>scanner

 <

最低0.47元/天 解锁文章
Web安全攻防——渗透测试实战指南
前后端面试题面试经验分享
03-26 2067
全章节一共7章,看完对你收获满满!
Web安全攻防:渗透测试实战指南
qq_67685234的博客
03-10 9873
第一章 渗透测试之信息收集 1.1 收集域名信息 ①得知目标域名 ②获取域名注册信息(域名DNS服务器信息和注册人联系信息) 1.1.1 Whois查询 标准互联网协议,收集网络注册信息,注册域名,IP地址等 Kali下的Whois查询 常用网站:爱站工具网(https://whois.aizhan.com) 站长之家(http://whois.chinaz.com) ...
渗透测试技术深度解析:从零基础到实战高手完全指南
最新发布
2401_84466225的博客
10-22 696
本文从实战角度系统介绍了渗透测试的核心技术与流程。首先解析了渗透测试标准流程(PTES)的七大阶段,包括前期交互、情报收集等关键环节。重点讲解了Web应用渗透(OWASP Top 10漏洞)、内网渗透技术和社会工程学等实战方法,并提供具体工具使用示例(如BurpSuite、Metasploit)。文章还涵盖企业级测试案例、风险评级模型和专业报告编写规范,最后给出职业发展路径建议和学习资源。全文强调渗透测试需要系统性思维和持续学习,建议通过搭建实验环境逐步掌握这项高需求技能。
web安全攻防渗透测试实战指南
weixin_67846882的博客
04-07 6183
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南
heike_Ch的博客
04-24 1051
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) 位置 : nmap安装目录/scripts/ 例如/usr/share/nmap/scripts脚本类型:ll /usr/sh
Web安全攻防_渗透测试实战指南
wangluoanquan111的博客
09-24 641
第1章 渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学。
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 8942
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Web安全攻防渗透测试实战指南学习笔记
K1ose的博客
06-17 4048
学习笔记第一章 渗透测试之信息收集第二章第章 第一章 渗透测试之信息收集 知己知彼,百战不殆 ——《孙子兵法》信息收集: 1. 服务器的配置信息 1. 网站敏感信息 具体细节: 1. 收集域名信息:域名->域名注册信息:DNS服务器信息、注册人信息 方法: 1)Whois查询 i. Whois是一个标准的互联网协议,可用于收集网络注册信息,注册的域名,
Web安全攻防渗透测试实战指南》笔记(一)
x1t02m的博客
09-02 1万+
前言 这个系列是拜读《Web安全攻防渗透测试实战指南》之后的一些笔记和实践记录,感谢作者对我学习过程的帮助,这本书值得大家入手学习。 信息收集 1.获取真实IP 2.域名信息 1.Whois查询 Kali自带了Whois,但是查国内域名比较鸡肋,站长之家更靠谱些 2.备案信息查询 ICP备案信息查询 天眼查(更详细) 3.子域名信息 Layer子域名挖掘...
Web安全攻防 渗透测试实战指南   学习笔记 (二)
0yst3r ‘s blog
09-21 1275
Web安全攻防 渗透测试实战指南 学习笔记 (二) 有关本书的其他学习笔记请移步以下链接~ Web安全攻防 渗透测试实战指南 学习笔记 (一) https://www.cnblogs.com/0yst3r-2046/p/10931927.html Web安全攻防 渗透测试实战指南 学习笔记 (二)https://www.cnblogs.com/0yst3r-2046...
内网安全攻防渗透测试实战指南.pptx
07-01
内网安全攻防渗透测试实战指南
Web安全攻防渗透测试实战指南.zip
11-29
Web安全攻防渗透测试实战指南--Web安全攻防渗透测试实战指南Web安全攻防渗透测试实战指南》 绝佳好书,适合入门加进阶最近事情有点多,对书读取的进度有点慢,这是本可以打通筋脉的好书,深刻感触,很透彻我还在继续研 读,代码和实战相结合,对于我这种菜鸡算是成功串起来以前学的杂乱无章的内容Web狗进阶推荐!关于这次脑图整理正好碰上面试准备 所以略显的仓促,第二章是环境搭建可以自己私下里找点靶场,第六章PowerShell攻击指南和七章实例指南我基本只写了书里面的框架, 没敢下手,在思考中深深感受到书需要多次读的必要,自己内网渗透PowerShell的薄弱和PHP代码审计的菜,感觉到技术欠缺所以并未继 续写,最近几个月去深挖后续会对脑图进行补充,也欢迎大佬补充。 脑图的最大好处就是构建模型加深记忆,希望可以帮到你对Web安全的全面认识。 嘻嘻嘻,老规矩,需要一个start~第一章渗透测试之信息搜集 第章常见渗透测试工具 第四章Web安全原理剖析 第五章Metasploit技术 第六章PowerShell技术指南 第七章 实例分析
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 3万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6791
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值