本文介绍了 BurpSuite 的基本使用方法及其在网络安全测试中的应用。包括如何设置浏览器代理以捕获 HTTP 请求,针对移动 App 的测试技巧,以及解决界面中文乱码等问题。
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
CookBook
实例
- 爆破:
- 改包:
- App 抓包:中粮我买网APP越权操作缺陷04(删除/修改任意用户信息)
常见问题
-
- 问:为什么打开 burp 后抓取不到浏览器的数据?
- 答:没有设置浏览器的代理地址,burp 本身是不会自动去设置的。
- IE:Internet 选项 -> 连接 -> 局域网设置 -> 代理服务器->「127.0.0.1:8080」
- Chrome:通过设置了 IE 的代理选项对 Chrome 也有效,如果使用了「Proxy SwitchySharp」那么 IE 的设置将对 Chrome 无效,我们需要在扩展里建立一个规则:
- Firefox:选项 -> 高级 -> 连接 -> 设置 -> 手动代理配置 -> 「127.0.0.1:8080」。
- IE:Internet 选项 -> 连接 -> 局域网设置 -> 代理服务器->「127.0.0.1:8080」
- 问:如何使用 Burp 测试手机里的 App?
- 答:小谈移动APP安全
- 问:界面上中文出现乱码怎么解决?
- 答:
- 如果是中文乱码的话,解决方法:options->display->font 调成微软雅黑等中文字体就可以。
- linux下中文乱码,没有微软xx字体,下载文泉驿字体,即可解决。
Download:Burp_Suite_1.6.rar
———————————————
发自知乎专栏「乌云君」
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
