BurpSuite简介
BurpSuite是一个用于测试Web应用程序安全性的图形工具,他集成了多种渗透组件,包括:代理、爬虫、扫描、重放、解码、编码等
BurpSuite主要组件
| 名称 | 功能 |
|---|---|
| Proxy | 是一个进行数据包拦截修改的HTTP或者HTTPS Web应用代理服务器,可以设在客户端与服务器之间,对客户的请求进行拦截、分析并修改数据包。 |
| Spider | 是一个只能网络爬虫,他能爬取和枚举应用的目录结构和功能 |
| Scanner | 是一个漏洞扫描工具,只有专业版可以使用该组件。使它可以自动发现Web应用可能存在的漏洞 |
| Intruder | 是一个可定制化的工具,非常强大,可以利用此工具进行枚举、fuzz漏洞测试等 |
| Repeater | 是一个数据包重放工具,可以利用它对某个截获的数据包不断修改,通过重放此数据包,根据服务器返回的信息进行漏洞分析。 |
| Sequencer | 是一个可以分析数据项随机性质量的工具,可以用它对web应用程序中的Session token进行分析 |
| Decoder | 是一个编码和解码的工具,可以利用它进行URL、Base64等多种形式的编码和解码 |
| Comparer | 是一个差异化分析的工具,可以对两个不同的字符串进行对比,分析两个字符串的差异 |
BurpSuite安装
- JRE的下载地址为
http://java.sun.com/j2se/downloads.html - Burp Suite下载地址为
链接:https://pan.baidu.com/s/1jWMkGuWctjCwASWCGf9H0A 提取码:pyef --来自百度网盘超级会员V5的分享
BurpSuite代理设置
- 打开Proxy下的Options页面中的edit选项
- 对BurpSuite进行监听地址及端口配置
- Bind to address 用于设置监听地址:Loopback only(本地回环)、All interfaces(所有地址)、Specific address(指定具体地址)三种。
- 切换至Intercept,设置数据包拦截。单击Intercept is on按钮启用拦截。
- 单击Intercept is off按钮进行只记录不拦截。
IE代理设置
- 浏览器–> 工具–> Internet选项–>连接选项卡–>局域网设置–> 勾选“为LAN使用代理服务”–>输入地址“127.0.0.1”端口为8080
BurpSuite重放
- 通过Burp Suite Repeater在Web安全测试中多次重放同一个数据包修改后的请求并分析响应数据的组件。
BurpSuite爆破
- Burp Suite Intruder是一个功能强大的自动化测试模块常用来进行暴力破解,模糊测试。
- Intruder分4个部分:Target定义请求的目标服务器地址;Position设置模糊测试的位置和模式。
- Payloads设置测试字典。
- Options设置线程、正则匹配等。
扫一扫
2421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
