导语
废话不多说直接上干货,没有营销纯技术分享。
第一步、系统代理设置
这里我们以Windows10系统的系统代理设置为例给出对应的配置操作。
首先,我们在设置中找到网络和Internet
进入之后,找到代理,设置手动代理,如下所示。
&emps;将手动代理设置为127.0.0.1,端口号为8080,当然也可以根据自己个人机器的情况设置其他的端口号。
设置完成之后,接下来,就是设置Brup Suite的代理
第二步、设置Burp Suite代理
&emps; 打开BurpSuite进入到代理模块,点击代理设置
打开代理设置之后,会看到如下的弹窗,这里默认会显示系统代理,如果没有做其他配置的话,这个地方的代理就是我们设置的系统代理地址。如果这里显示的代理配置与系统代理配置不一致的话,那么可以返回第一步将系统代理先设置为这里的代理。
第三步、开始介绍Burp Suite代理的用法
首先来讲,我们先来看一下Burp Suite的代理拦截功能,我们可以在代理窗口中看到如下的按钮。
在我们点击这个按钮之后,就会进入到拦截打开的状态 Interception is on,这个时候我们在浏览器中输入需要访问的网站地址之后,就可以看到数据流量在经过Burp Proxy代理之后会进行暂停,如下所示。
这里我们以百度为例给出测试,需要注意,在上面的配置代理的时候,我们配置的是系统的代理,也就是说所有经过系统访问的请求,都会被这个代理拦截器所拦截。这里我们可以通过单击Forword按钮或者是通过Drop来抛弃当前请求,当我们点击Forward的按钮之后表示我们放行了所有的请求并且可以看到当前请求的响应结果,如下所示。
当Burp Suite拦截了客户端与服务器交互的请求之后,我们可以看到选项卡中的各种请求信息。如下所。
通过这些信息,我们就可以分析出请求的调用情况。在默认情况下Burp Proxy只显示请求信息,对于普通的文件请求不会进行拦截,当然也可进行配置,这个在后面的操作中我们在进行介绍。
正常情况下,Burp Suite会将所有的请求记录到http history中,如下所示。
我们可以通过这个Http History的选项卡来查看历史传输的内容,对于交互的数据进行测试以及验证,同时对于每一条历史拦截请求,我们都可以通过右键弹出的菜单进行单独的操作,
或者可以双击查看每一条的具体数据内容。
第四步、数据的拦截控制
在上面的操作中,我们介绍了Burp Proxy的拦截功能主要是由Intercept选项中的基础的Forward功能、Drop功能、Intercept is off/on功能以及Action功能组成。最后还有一个Open Browser功能,这个功能是如果在没有使用系统代理的情况下,我们可以通过这个打开的Burp Suite的浏览器来进行网页的访问同样也可以达到与系统代理一样的效果,但是对系统真实性来讲可能没有直接使用浏览器真实。
上面的基础功能我们都介绍了这里我们介绍一下Action功能,如下所示。
当我们拦截好请求之后,点击Action按钮之后会看到如图所示的内容,我们可以看到通过Action功能,我们可以将当前的请求传递到Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer等组件,当然我们还可以对当前的请求进行进行一些修改,例如改变请求方式、改变Body体、改变编码信息等。
Comment功能可以为当前的请求添加一个备注信息,因为在一次测试过程中,可能会用到各种的请求消息,为了便于在History中进行区分,我们可以在某个关键消息上添加备注信息,这个时候我们就可以在History中看到对应的标注,并且设置高亮,如下所示。
当然Intercept中出了可以通过对Proxy的消息进行控制之外,还可以在选项卡的Options选项中设置更多的功能也可以对消息进行设置,这个在后续的介绍中我们进行介绍。
扫一扫
5876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
