爱测未来安全-安全测试神器Burpsuite快速入门（一）

一、简介

BurpSuite是一款对web应用进行安全测试的集成平台，由Java编写可以很好的工作在各个操作系统平台。Burp Suite被大家称为web安全领域的神器，基本上搞web安全的人都用过。本文就帮助大家快速入门熟悉Burp Suite这款神器。

BurpSuite文件可以从它的官网下载，分为免费版和专业版，区别就是免费版的某些功能不可以使用，如果你想使用专业版可以去官网购买。下载好Burp Suite之后安装JDK，然后就可以直接运行了。打开Burp Suite之后的界面是这样的：

分为不同的模块，每一个模块都有十分强大的功能，接下来就分别从不同的模块来进行讲解。

二、proxy基础讲解

BurpSuite的最基础的功能就是拦截HTTP/HTTPS流量，通过拦截到流量之后再进行其他的操作，拦截流量的前提是我们需要设置一下代理，让所有的HTTP/HTTPS通过我们的代理，设置代理的过程就不演示了。代理设置结束之后开启代理，然后将proxy模块下的intercept设置为on就可以正常拦截流量了。

代理设置好之后就可以拦截流量了：

这里有一点需要注意，有时候我们的数据中会包含中文字符，很多时候发现是乱码的，这是因为当前Burpsuite的字体不支持中文显示，这时候你只要改一下字体就可以了。选项位置：User options——Display——font

三、Spider基础讲解

接下来介绍一下Burpsuite中的Spider功能。在安全测试或者渗透测试的过程中，我们前期在进行信息收集的时候需要了解网站的整体结构，这就有两种方法：1）暴力目录猜解；2）爬虫爬整个网站结构；实际情况是两种结合效果最佳。要想使用爬虫的功能，需要首先拦截一下目标站的流量，然后在拦截到的数据包中右击，选择send to spider：

然后我们切换到target的标签就可以看到爬取的结果。有时候爬虫会爬到很多超出目标范围的网站，如果这种无关信息很多会使得查看不便，这个时候我们可以使用Burpsuite提供的过滤功能：

我们只需要点击filter然后勾选show only in-scope items就可以了。

这样我们就可以很方便的看到网站的目录、文件结构，通过爬虫爬取的结构，如果其中的目录命名有一定的规律我们也可以从结果中看出来，然后在后期暴力猜解目录的时候定制自己的字典使所得的结果更加的精确，收集的信息更加的全面，这样才能使整个测试的结果更加可信。例如：通过爬虫我们发现，网站所有的目录前面都会加上域名的一部分+目录名，例如：vul_admin，那么在接下来猜解的过程中我们需要修改我们的基础字典，在其所有字段前面加上vul_ 。很多人都喜欢用公开的或者自己写的扫描器去猜解目录结构，但是这样还是比较麻烦，可定制性也不是很高。Burpsuite其实就提供了暴力猜解目录、密码等等的功能，而且所有这些功能都只是在一个模块中就可以完成。

本期主要介绍burpsuite以及代理的设置，并介绍了spider和target模块的相关知识，关于更多intruder模块的介绍将在下一期中进行专门介绍，请持续关注~

公众号：itest_forever

优快云:http://blog.csdn.net/itest_2016

QQ群：274166295（爱测未来2群）、610934609（爱测未来3群）