前言
大家好, 我是小白, 下面开始我的表演, 以下内容如有雷同纯属巧合, 靴靴. (鞠躬
学到什么就写什么, 可能有点乱哈.
Burp Suite 是一款用于攻击 web 应用程序的集成平台, 包含了许多工具, 设置了不同的模块和接口, 且模块功能之间是互通关联的.
安装运行
Burp Suite 使用 Java 开发的, 运行时需要依赖于 Java 运行环境, 因此需要安装 jdk .
Burp Suite 肥宅快乐版: https://pan.baidu.com/s/1muN8BuDMfkDE97kPG-kHCg 提取码: yyry
下载后直接安装使用, 妈妈再也不用担心我的学习, so easy~
jdk 安装环境就傻瓜式操作, 配置一下环境变量, 在系统变量 path 中加上 jdk 的 bin 目录路径.
最后, 设置代理服务器, 以下是 Google 浏览器代理设置步骤:
打开浏览器设置 ----> 高级设置 ------> 打开代理设置.
应用场景
(以下几行文字源自 B 视频)
1.HTTP 服务端接口测试
2.HTTP 客户端和 HTTP 服务端通信测试
3.cookie 统计分析
4.HTTP 服务器 Web 安全扫描
5.Web 常用编码和解码
6.Web 页面爬取
7. 字符串随机性简单分析
8. 文件差异对比分析
使用教程
默认情况下, burp suite 只会拦截请求的消息, 如果想要拦截其他类型, 可以手动设置.
勾选以下拦截选项进行修改.
啊对了, 建议重新调整下字体, 因为是用英文开发, 所以中文字体显示时可能会出现乱码.
以下选项修改字体大小和字体样式.
Burp Suite 模块介绍
- Target(目标)
- site map(站点地图)
左侧会显示所有通过服务器代理的 url, 右侧显示所访问 url 的详尽信息.
Target Scope
勾选使用高级范围控制 (大概是这么翻译的叭 =.=)
包含两部分功能: 包括范围, 去除范围.
proxy(代理)
简单画了下 proxy 的作用:
Intercept(截断)
默认情况下显示为 "intercept is on", 处于拦截功能状态, 在浏览器输入 URL 并回车, 经过 burp 的数据流量将会被拦截不发送, 点击 "forward" 传输本次数据,"drop" 丢弃本次数据.
Raw
显示 Web 请求的 raw 格式, 并且可以手工修改其中的信息.
HTTP history 截取数据流量的历史记录.
options 可选项配置.
Intruder
可以在原始请求的基础上, 修改各种请求参数.
使用步骤:
1. 完成浏览器的代理设置.
2. 在 proxy 下关闭拦截功能.
3.HTTP history 中找到存在问题的请求 URL, 右击选择发送到 intruder.
4. 清除自动默认选择的猜测或破解信息的位置.(也可以手工选择, 添加位置)
position 下选择攻击类型
payload
最后回到 position 页面, 点击 stack attack , 发起攻击.
Scan
略.. 好吧, 我的肥仔快乐版里没有这个模块, 肥仔失去快乐.
来源: http://www.bubuko.com/infodetail-2983463.html