爱测未来安全-安全测试神器Burpsuite快速入门(一)

一、简介

BurpSuite是一款对web应用进行安全测试的集成平台,由Java编写可以很好的工作在各个操作系统平台。Burp Suite被大家称为web安全领域的神器,基本上搞web安全的人都用过。本文就帮助大家快速入门熟悉Burp Suite这款神器。

BurpSuite文件可以从它的官网下载,分为免费版和专业版,区别就是免费版的某些功能不可以使用,如果你想使用专业版可以去官网购买。下载好Burp Suite之后安装JDK,然后就可以直接运行了。打开Burp Suite之后的界面是这样的:


分为不同的模块,每一个模块都有十分强大的功能,接下来就分别从不同的模块来进行讲解。

二、proxy基础讲解

BurpSuite的最基础的功能就是拦截HTTP/HTTPS流量,通过拦截到流量之后再进行其他的操作,拦截流量的前提是我们需要设置一下代理,让所有的HTTP/HTTPS通过我们的代理,设置代理的过程就不演示了。代理设置结束之后开启代理,然后将proxy模块下的intercept设置为on就可以正常拦截流量了。


代理设置好之后就可以拦截流量了:


这里有一点需要注意,有时候我们的数据中会包含中文字符,很多时候发现是乱码的,这是因为当前Burpsuite的字体不支持中文显示,这时候你只要改一下字体就可以了。选项位置:User options——Display——font


三、Spider基础讲解

接下来介绍一下Burpsuite中的Spider功能。在安全测试或者渗透测试的过程中,我们前期在进行信息收集的时候需要了解网站的整体结构,这就有两种方法:1)暴力目录猜解;2)爬虫爬整个网站结构;实际情况是两种结合效果最佳。要想使用爬虫的功能,需要首先拦截一下目标站的流量,然后在拦截到的数据包中右击,选择send to spider


然后我们切换到target的标签就可以看到爬取的结果。有时候爬虫会爬到很多超出目标范围的网站,如果这种无关信息很多会使得查看不便,这个时候我们可以使用Burpsuite提供的过滤功能:


我们只需要点击filter然后勾选show only in-scope items就可以了。


这样我们就可以很方便的看到网站的目录、文件结构,通过爬虫爬取的结构,如果其中的目录命名有一定的规律我们也可以从结果中看出来,然后在后期暴力猜解目录的时候定制自己的字典使所得的结果更加的精确,收集的信息更加的全面,这样才能使整个测试的结果更加可信。例如:通过爬虫我们发现,网站所有的目录前面都会加上域名的一部分+目录名,例如:vul_admin,那么在接下来猜解的过程中我们需要修改我们的基础字典,在其所有字段前面加上vul_ 。很多人都喜欢用公开的或者自己写的扫描器去猜解目录结构,但是这样还是比较麻烦,可定制性也不是很高。Burpsuite其实就提供了暴力猜解目录、密码等等的功能,而且所有这些功能都只是在一个模块中就可以完成。

本期主要介绍burpsuite以及代理的设置,并介绍了spider和target模块的相关知识,关于更多intruder模块的介绍将在下一期中进行专门介绍,请持续关注~


公众号:itest_forever

优快云:http://blog.csdn.net/itest_2016

QQ群:274166295(爱测未来2群)、610934609(爱测未来3群)



使用Burpsuite精通Web渗透试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute attacks and perform web assessments Key Features Use tools in Burp Suite to meet your web infrastructure security demands Configure Burp to fine-tune the suite of tools specific to the target Use Burp extensions to assist with various technologies commonly found in application stacks Book Description Burp Suite is a Java-based platform used for testing the security of your web applications, and has been adopted widely by professional enterprise testers. The Burp Suite Cookbook contains recipes to help you tackle challenges related to determining and exploring vulnerabilities in web applications. The book's first few sections will help you understand how to uncover security flaws with various test cases for complex environments. After you've configured Burp for your environment, you will use Burp tools such as Spider, Scanner, Intruder, Repeater, and Decoder, among others, to resolve specific problems faced by pentesters. You'll also be able to work with Burp's various modes, in addition to performing operations on the web. Toward the concluding chapters, you'll explore recipes that target specific test scenarios and learn how to resolve them using best practices. By the end of this book, you'll be up and running with deploying Burp for securing web applications. What you will learn Configure Burp Suite for your web applications Perform authentication, authorization, business logic, and data validation testing Explore session management and client-side testing Understand unrestricted file uploads and server-side request forgery Execute XML external entity attacks with Burp Perform remote code execution with Burp Who this book is for If you are a security professional, web pentester, or software developer who wants to adopt Burp Suite for application security, this book is for you. Table of Contents Getting Started with Burp Sui
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值