爱测未来安全-安全测试神器Burpsuite快速入门(一)

最新推荐文章于 2025-07-11 11:26:22 发布
原创 最新推荐文章于 2025-07-11 11:26:22 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#filter #安全 #burpsuite

一、简介

BurpSuite是一款对web应用进行安全测试的集成平台,由Java编写可以很好的工作在各个操作系统平台。Burp Suite被大家称为web安全领域的神器,基本上搞web安全的人都用过。本文就帮助大家快速入门熟悉Burp Suite这款神器。

BurpSuite文件可以从它的官网下载,分为免费版和专业版,区别就是免费版的某些功能不可以使用,如果你想使用专业版可以去官网购买。下载好Burp Suite之后安装JDK,然后就可以直接运行了。打开Burp Suite之后的界面是这样的:


分为不同的模块,每一个模块都有十分强大的功能,接下来就分别从不同的模块来进行讲解。

二、proxy基础讲解

BurpSuite的最基础的功能就是拦截HTTP/HTTPS流量,通过拦截到流量之后再进行其他的操作,拦截流量的前提是我们需要设置一下代理,让所有的HTTP/HTTPS通过我们的代理,设置代理的过程就不演示了。代理设置结束之后开启代理,然后将proxy模块下的intercept设置为on就可以正常拦截流量了。


代理设置好之后就可以拦截流量了:


这里有一点需要注意,有时候我们的数据中会包含中文字符,很多时候发现是乱码的,这是因为当前Burpsuite的字体不支持中文显示,这时候你只要改一下字体就可以了。选项位置:User options——Display——font


三、Spider基础讲解

接下来介绍一下Burpsuite中的Spider功能。在安全测试或者渗透测试的过程中,我们前期在进行信息收集的时候需要了解网站的整体结构,这就有两种方法:1)暴力目录猜解;2)爬虫爬整个网站结构;实际情况是两种结合效果最佳。要想使用爬虫的功能,需要首先拦截一下目标站的流量,然后在拦截到的数据包中右击,选择send to spider


然后我们切换到target的标签就可以看到爬取的结果。有时候爬虫会爬到很多超出目标范围的网站,如果这种无关信息很多会使得查看不便,这个时候我们可以使用Burpsuite提供的过滤功能:


我们只需要点击filter然后勾选show only in-scope items就可以了。


这样我们就可以很方便的看到网站的目录、文件结构,通过爬虫爬取的结构,如果其中的目录命名有一定的规律我们也可以从结果中看出来,然后在后期暴力猜解目录的时候定制自己的字典使所得的结果更加的精确,收集的信息更加的全面,这样才能使整个测试的结果更加可信。例如:通过爬虫我们发现,网站所有的目录前面都会加上域名的一部分+目录名,例如:vul_admin,那么在接下来猜解的过程中我们需要修改我们的基础字典,在其所有字段前面加上vul_ 。很多人都喜欢用公开的或者自己写的扫描器去猜解目录结构,但是这样还是比较麻烦,可定制性也不是很高。Burpsuite其实就提供了暴力猜解目录、密码等等的功能,而且所有这些功能都只是在一个模块中就可以完成。

本期主要介绍burpsuite以及代理的设置,并介绍了spider和target模块的相关知识,关于更多intruder模块的介绍将在下一期中进行专门介绍,请持续关注~


公众号:itest_forever

优快云:http://blog.csdn.net/itest_2016

QQ群:274166295(爱测未来2群)、610934609(爱测未来3群)

[网络安全自学篇] 六十九.宏安全入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
04-21 9581
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒,实现对Win7文件加密的过程,并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,本文包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。基础性文章,希望对您有所帮助。
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第次参加CTF,还是学到了很多东西。人生路上,要珍惜好每天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
安全测试工具BurpSuite
好多可乐的博客
10-22 5169
BurpSuite主要就是通过抓包抓到网站的基本内容,然后对网站进行深入爬取,了解更多待试的对象,再使用scanner对所有资源进行扫描,检等。
安全测试工具--BurpSuite使用
u013465115的博客
01-25 1465
BurpSuit是用于攻击web应用程序的集成平台,包含了很多的Burp工具,通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。它主要用来做安全性渗透试。 1、Burpsuite安装及进入 在官网直接进行下载,是付费软件,也可以找破解版进行安装。 安装成功后进入burpsuite的主界面(我使用的是community edition),如下: 点击下步,单击startBurp就可以进入burpsuite了:
安全测试工具Burp Suite操作简介
最新发布
tcc374254426的博客
07-11 710
在这里,您可以看到通过 Burp 代理的所有 HTTP 流量的历史记录,即使在拦截被关闭时也是如此。Burp Suite是个用于攻击web应用程序的集成化的渗透试工具,它集合了多种渗透试组件,能够使我们更好的完成对web应用的渗透试和攻击。在 Burp 的浏览器中,单击右上角的购物篮图标以查看您的购物车。多次 单击Forward按钮以发送截获的请求以及任何后续请求,直到页面加载到 Burp 的浏览器中。研究截获的请求,并注意到正文中有个名为 的参数price,它与以美分为单位的商品价格相匹配。
安全测试必学神器 --BurpSuite 安装及使用实操
隔壁王叔的博客
12-24 1313
安全测试必学神器 --BurpSuite 安装及使用实操
Burp suite工具入门--安全测试
weixin_42976139的博客
11-26 550
、工具:Burp suite 本质是种代理服务器,类似于fiddler; 主要是通过拦截浏览器请求报文进行修改,也拦截服务器端的响应进行修改; 针对服务端的安全测试,WEB和APP都适用; 使用这个工具,产品进行试,找出可能存在的漏洞才是这个工具的使用目的; 二、理论:模拟黑客的攻击方法,找漏洞。 1、攻击手段: (1)获取别人信息 (2)恶心别人 2、web安全漏洞,三大部分: ①. 输入...
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 八十八.基于机器学习的恶意代码检技术详解
热门推荐
杨秀璋的专栏
07-19 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,起进步。前文分享了传统的恶意代码检技术,包括恶意代码检的对象和策略、特征值检技术、校验和检技术、启发式扫描技术、虚拟机检技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检技术,基础性文章,希望对
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析()Python利用永恒之蓝及Win7勒索加密
杨秀璋的专栏
04-14 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,起进步。前文分享了Vulnhub靶机渗透的DC-1题目,通过信息收集、CMS漏洞搜索、Drupal漏洞利用、Metasploit反弹shell、提权及数据库爆破获取flag。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,希望这篇基础性文章对您有所帮助。
渗透试工具burpsuite详细使用教程
02-02
burpsuite的详细基础使用教程,全面,基础、详细。是入门的好教程。
BurpSuite使用介绍(
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的个强大的可扩展的框架。本文主要介绍它的以下特点:1.Target(目标)——显示目标目录结构的的个功能2.Proxy(代理)——拦截HTTP/S的代理服务器,作为个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。3.Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。4.Scanner(扫描器)——高级工具,执行后,
使用Burpsuite精通Web渗透-英文版 非常好
05-20
使用Burpsuite精通Web渗透试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute attacks and perform web assessments Key Features Use tools in Burp Suite to meet your web infrastructure security demands Configure Burp to fine-tune the suite of tools specific to the target Use Burp extensions to assist with various technologies commonly found in application stacks Book Description Burp Suite is a Java-based platform used for testing the security of your web applications, and has been adopted widely by professional enterprise testers. The Burp Suite Cookbook contains recipes to help you tackle challenges related to determining and exploring vulnerabilities in web applications. The book's first few sections will help you understand how to uncover security flaws with various test cases for complex environments. After you've configured Burp for your environment, you will use Burp tools such as Spider, Scanner, Intruder, Repeater, and Decoder, among others, to resolve specific problems faced by pentesters. You'll also be able to work with Burp's various modes, in addition to performing operations on the web. Toward the concluding chapters, you'll explore recipes that target specific test scenarios and learn how to resolve them using best practices. By the end of this book, you'll be up and running with deploying Burp for securing web applications. What you will learn Configure Burp Suite for your web applications Perform authentication, authorization, business logic, and data validation testing Explore session management and client-side testing Understand unrestricted file uploads and server-side request forgery Execute XML external entity attacks with Burp Perform remote code execution with Burp Who this book is for If you are a security professional, web pentester, or software developer who wants to adopt Burp Suite for application security, this book is for you. Table of Contents Getting Started with Burp Sui
安全测试拦截数据包工具BurpLoader
01-07
安全测试工具,拦截数据包,安全问题,需要设置浏览器的代理即可。
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
xnxqwzy的博客
08-20 2665
渗透试(Penetrationtest)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出试报告。Web渗透试分为白盒试和黑盒试,白盒试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
安全测试学习(二)安全测试工具之BurpSuite
我的成长之路
10-16 1125
、下载并安装 前提条件:需要安装jdk BurpSuite的安装可参考网上的教程完成 安装完成后根据提示打开 BurpSuite,打开过程中出现弹框点击 ok 打开后如图所示 二、设置代理 要让 BurpSuite能成功拦截浏览器请求,需要先设置浏览器和 BurpSuite 的代理致。以搜狗浏览器为例 浏览器设置完成后再设置 BurpSuite 三、开始使用 代理设置完成后,打开搜狗浏览...
安全测试初学体验
weixin_53622455的博客
07-19 1973
alert(`xss`)
未来开发-SpringSecurity实战
爱测未来团队博客
05-27 497
、SpringSecurity简介 Spring Security是个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion ofControl ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)
深入解析BurpSuite v2.1:新代开源安全测试神器
BurpSuite v2.1 是个功能强大的开源安全测试工具,专注于Web应用程序的安全性评估。BurpSuite提供了从初始映射和分析网站结构,到识别安全漏洞,再到进行详尽的手工和自动攻击等系列渗透试功能。 ### 知识点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值