burpsuit2.0基础使用说明

最新推荐文章于 2025-04-05 15:00:36 发布
最新推荐文章于 2025-04-05 15:00:36 发布
阅读量2k 收藏 8
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shuijiaxiaowei/article/details/113064793
版权

一.简介

Burpsuite是基于Java的用于web安全的工具,能够进行爬虫、代理、编码、密码爆破等任务,并支持对XSS漏洞、文件包含等漏洞的主动扫描或被动扫描。burpsuite2.0具体分为以下10个模块:

  • Dashboard(仪表盘)——显示任务、实践日志等。
  • Target(目标)——显示目标目录结构的的一个功能。
  • Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
  • Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
  • Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
  • Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
  • Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
  • Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
  • Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
  • Options(设置)——包括Project options和User options,是对Burp Suite的一些设置。

 

二.下载地址

Brupsuite2.0下载地址:https://pan.baidu.com/s/1kOrcBwDs6qOzZvShAIj-Ew

密码:bibn

 

三.安装

3.1若无java环境,安装java1.8版本的环境:

1. 一直下一步安装

2. 配置java环境变量

3. 重启计算机使java环境生效

 

3.2安装burpsuit

1.双击burp-loader-keygen.jar

2.点击Run,弹出新弹框

3.点击“I Accept”

4.将原弹框的License Text复制到新弹框,点击next

5.点击Manual activation

6.点击copy request,将内容复制到keygen弹框中的Activation Request,自动生成Activation Response,再将Activation Response复制到Manual弹框的最后一个输入框去。点击next。

7.激活成功,点击finish

8.点击leave

9.点击next

10.点击start burp

11.安装完成

3.3打开

以后每次打开,只要burp-loader-keygen.jar,点击leave即可

 

四.扫描

Scan 这个功能模块的作用则是扫描,一个 Web 应用程序的扫描器,是 Pro 版独有的,社区版则不带有此功能。

4.1开启代理

1.点击option,默认有一条127.0.0.1:8080的代理

2.在浏览器里进行配置(用firefox进行演示),找到网络,选择手动配置代理,输入127.0.0.1,端口8080,点击确定。

3.配置抓取https请求的ca证书:

在firefox的url输入127.0.0.1:8080,点击CA Certificate

4.保存文件:

5.在firefox搜索证书,进行导入:

6.抓包的时候浏览器打不开网页属于正常现象,如果想在网页查看,勾选option里的三个选项即可:

4.2被动式与主动式

Crawl:爬行;Audit:审计。在burpsuite中,爬虫和审计分为主动式、被动式。

1.被动式:

在Dashboard仪表盘模块下,有关于爬虫和审计两个功能的设置:

Live passive crawl from Proxy实时被动爬虫。

Live audit from Proxy实时审计。

被动式是几乎不额外构造请求进行爬虫和扫描,根据用户浏览网页进行常规请求,并对请求的数据进行简单分析。

2.主动式:

在Dashboard仪表盘模块下,点击New scan,进行扫描配置

 

4.3主动式扫描

4.3.1使用抓取请求扫描

1.开启代理,浏览网站,在http history中获取请求记录:

2.在http history中ctrl+a全选,右键点击scan

3.选择consolidate items,可以有针对性的进行过滤

4.点击ok进行扫描

 

4.3.2从某个url下扫描所有路径:

1.点击New scan,在弹框中输入url

2.Sitemap会展示该url的目录结构

3.Dashboard会展示扫描的进度与问题总计:

五.导出报告

1.在target->site map,选择某个url,右侧issues按ctrl+a全选,右键,点击Report selected issues

2.选择html,点击next

3.默认,点击next

4.默认,点击next

5.默认,点击next

6.点击select file,选择路径,输入文件名称,例如:report.html,点击next,导出完成

网络攻防——Fiddler工具的使用
weixin_46560512的博客
04-03 6744
Fiddler工具的使用1.引言2.什么是Fiddler?3.Fiddler的基本使用4.基于手机模拟器的APP抓包5.接口捕获6.引言7.鸣谢 1.引言     虽然之前写了退出一切关于编程的学习(其实我还想学react,typescript,将javascript作为自己核心的编程语言的,其实我还想了解以下java的,软工很多课程都跟Java有关,而且面向对象编程还有很多未曾了解的涉及模式,这些对于书写高质量代码有一定的帮助,其实我还想…),专心学考研课程,打打基础。但是还是忍不住,于是又根据学校安排的
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 8152
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-优快云博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
burpsuite_pro_v2.0beta破解版
09-17
burpsuite_pro_v2.0betaburpsuite_pro_v2.0betaburpsuite_pro_v2.0betaburpsuite_pro_v2.0beta 最新版
BurpSuite2.0Beta
08-27
BurpSuite2.eta外加key。最新的测试版。
Burp抓包工具--是渗透测试最重要的工具
最新发布
JLN1789015334的博客
04-05 1160
主要是讲述了关于burp抓包工具的相关操作和相关选项的内容和含义。
BurpSuite_v2.0下载
weixin_41965172的博客
01-16 4246
1.   下载软件 关于Burp Suite, 它是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用。 本次更次包含多项重大改动并添加了诸多全新功能具有许多新功能,包括: 1. 全新的爬虫工具,能够自动处理会话、检测应用程序状态的变化、抓取多次登录信息和不稳定的内容...
BurpSuite 2.0的介绍
weixin_30360497的博客
08-22 411
BurpSuite简介 BurpSuite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。Burpsuite结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。在安全人员常用工具表中,burpsuite排在第13位,且排名在不断上升,由此可见它在安全人员手中的重要性。...
渗透测试神器Burp Suite2.0测试版
captain
08-27 1133
渗透测试神器Burp Suite现已推出2.0测试版 评论区下载链接
burpsuite_pro_v2.0
08-24
抓包渗透必备。burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共享同一robust框架,以便统一处理HTTP请求、持久性、认证、上游代{过}{滤}理、日志记录、
BurpSuite pro v2.0 使用入门教程
weixin_30877227的博客
05-12 1841
BurpSuite简介 BurpSuite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。Burpsuite结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。在安全人员常用工具表中,burpsuite排在第13位,且排名在不断上升,由此可见它在安全人员手中的重要性。Burp...
CTF训练
qq_43679873的博客
01-11 1315
CTF训练
Burp Suite2.0.05版本附带注册机
04-17
Burp Suite2.0.05版本附带注册机,给有需要的小伙伴,喜欢刷SRC的小伙伴可以一起。
BurpSuite_v2.0 使用教程及BurpSuite 下载
09-23
文档内包含 BurpSuite_v2.0工具及教程下载链接,关于Burp Suite, 它是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用
burp2.0中文版.rar
09-28
burp2.0中文版,内涵注册机,.bat文件,一键安装,java变量环境安装文件javajdk。
burpsuite_pro_v2.0.03beta
10-10
抓包渗透必备。burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析,到寻找和利用安全漏洞等过程,所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共享同一robust框架,以便统一处理HTTP请求、持久性、认证、上游代{过}{滤}理、日志记录、
BurpSuite最详细教程
01-09
Burp Suite是用于攻击 web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
Web暴力破解及SQL注入
ClearLove的博客
08-09 9762
《Web暴力破解及SQL注入》作业 课程名称:《Web安全(二)》 作业内容: 已知owasp服务器内的网站用户名为:gordonb 密码为6位,前三位为‘abc’后三位为数字,对其进行爆破得到正确的密码并验证。 使用SQLmap对该网站的前3个SQL注入案例进行SQL注入,将用户名和密码展示出一张表,实现拖库操作。 【要求】 ...
渗透测试神器Burp Suite现已推出2.0测试版
CHK的博客
08-25 1851
关于Burp Suite Burp Suite是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用。   套件中的所有工具共享同一框架以便统一处理HTTP请求、认证、上游代理、日志记录、警告等任务,具备很高的灵活性和可扩展性,允许用户结合手动和自动化技术枚举、分析...
burpsuite 2.0 下载与破解
Fly_鹏程万里
10-17 5273
下载 下载地址:https://download.csdn.net/download/fly_hps/10725974 破解 将下载的压缩包解压之后可以发现有以下三个文件: 之后运行“burp-loader-keygen.jar” 之后会运行burpsuite 2.0,并且弹窗,之后再license key窗口当中填入生成的license: 之后继续: 之后复制“requ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值