BurpSuite是一款集成的web应用攻击平台,适用于Linux和Windows,包括Target、Proxy、Spider等工具。Proxy作为HTTP/S代理服务器,可用于拦截和修改数据流。要抓取HTTPS数据包,需在浏览器(如IE、Firefox)中配置代理并安装Burp的证书。证书导入过程涉及下载、保存、导入和信任设置。
一、BurpSuite概述
1.1 工作环境
Linux操作系统下在命令行终端输入命令“burpsuite”即可启动Burp Suite软件,但是Windows操作系统下运行需要Java环境。Burp Suite是由Java语言编写而成,而且Java语言具有跨平台性,使软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。
下载地址:
JDK:https://www.oracle.com/technetwork/java/javase/downloads
Burp Suite:https://portswigger.net/burp/communitydownload
1.2 含义
BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息,包含持久性、认证、代理、日志、警报等功能。
1.3 BurpSuite的工具介绍
(1)Target——是目标,显示目标目录结构的的一个功能
(2)Proxy——是拦截HTTP/S的代理服务器,是浏览器和目标应用程序之间的中间人,可以拦截,查看,修改在两个方向上的原始数据流。
(3)Spider——是蜘蛛,应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
(4)Scanner——是扫描器,属于高级工具,执行后,它能自动地发现web 应用程序的安全漏洞(仅限专业版)。
(5)Intruder——是入侵,是一个定制的高度可配置的工具,对web应用程序进行自动化攻击。
(6)Repeater——是中继器,一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
(7)Sequencer——会话功能
最低0.47元/天 解锁文章
扫一扫
922
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
