首先,我們得知道BurpSuite是一個java程序,所以需要java環境,安裝JRE
然後搜索BurpSuite下載安裝.其次BurpSuite作爲web測試工具,應用廣泛
BurpSuite的應用場景
1.HTTP服務端接口測試
2.HTTP客戶端和HTTP服務端通信測試
3.Cookie統計分析
4.HTTP服務器WEB安全掃描
5.WEB頁面爬取
6.WEB常用編碼和解碼
7.字符串隨機性簡單分析
8.文件差異對比分析
1.基本模塊的介紹
Target:獲取目標應用程序的詳細信息
下置的 Scope(範圍),用來限定.(能夠影響掃描和爬取,而掃描和爬取也可以通過更改設置來不受其限制)
Proxy:(靈魂)Proxy是BurpSuite最核心的部分,通過攔截,查看和修改所有的請求和響應您的瀏覽器與目標Web服務器之間傳遞。
Spider:爬蟲
Scanner:自動發現web應用程序的安全漏洞的工具
Intruder:它可以自動實施各種定製攻擊,包括資源枚舉、數據提取、模糊測試等常見漏洞等
Repeater:用來重複
Sequencer:分析字符串的隨機性 ,對可預測性進行分析
Decoder:編碼和解碼
Comparer:比較兩個項目
Alerts可以用來查看啓動是否正常
2.基本的抓包流程
基本操作就是 代理—>處理HTTP請求—>處理HTTP響應
所以第一步就是要設置代理服務器
可以使用火狐瀏覽器,下載一個FoxProxy Standard插件,這樣設置服務器代理更爲方便,把127.0.0.1設置爲代理服務器,由本機發起的請求都會通過127.0.0.1,然後我們就可以把請求和響應包都截取下來。
設置代理,端口爲8080!
然後在BurpSuite中進行如下操作
Proxy模塊
①Intercept攔截
forward:傳輸本次數據
drop:丟棄本次數據
Intercept on/off:攔截開啓/關閉
Action:提供功能選項
Raw展示的是瀏覽器提交過來的原始數據,Headers是隻展示標題頭,Hex是以十六進制的方式展示
②History就是歷史瀏覽的數據,可以通過修改這些選項來查看不同的數據,如果要查看所有,可以直接在Show All前打對勾或者全部選中
forward:傳輸本次數據
drop:丟棄本次數據
Intercepton/off:攔截開啓/關閉
Action:提供功能選項
Repeater
Repeater是一個重放攻擊器。我們可以在這裏對數據包的參數進行修改,以此來進行請求與響應的消息驗證分析。
Intruder
和Repeater相比,Intruder更高級,更先進
它有好幾種攻擊類型
BurpSuite是一個很強大的工具,需要在實踐中去運用它,才能更加了解它更多的作用。
現在只是對其有一個淺顯的理解。
多多實踐,加深瞭解。–加油加油