本文详细介绍了BurpSuite的安装配置、各个模块功能,如Target目录浏览、Proxy数据包拦截与修改,以及Intruder模块的暴力破解示例。重点展示了如何利用BurpSuite进行HTTPS证书安装和安全测试,涵盖了Web应用安全测试的关键步骤。
一.Burp Suite工具安装及配置
1.Burp Suite
Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台,它将各种安全工
具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分
析,到发现和利用安全漏洞。
Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享
一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite
结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。
Burp Suite是Java编写的,所以在使用前需要安装JDK环境,这里不进行具体讲解如何
安装JDK。
官方下载地址:https://portswigger.net/burp
2.安装
安装过程非常简单,傻瓜式点击“下一步”安装。
安装成功之后运行如下所示,点击“Next” -> “Start Burp”显示主界面。
3.功能
Burp Suite的模块几乎包含整个安全测试过程,从最初对目标程序的信息采集,到漏洞
扫描及其利用,多模块间高融合的配合,使得安全测试的过程更加高效。主要模块如下:
- Target(目标): 显示目标目录结构。
- Proxy(代理): Burp Suite设置代理,抓取数据包。用于拦截HTTP/S的代理服务
器,作为浏览器和目标应用程序之间的中间件,允许你拦截、查看、修改两个方向
上的原始数据流。 - Spider(蜘蛛): Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等。
- Scanner(扫描器): 高级工具,它能自动地发现Web应用程序的安全漏洞。主要用
来扫描Web应用程序漏洞,发现常见的web安全漏洞,但会存在误报的可能。 - Intruder(入侵): 一个定制的高度可配置工具,可以对Web应用程序进行自动化攻
击和暴力猜解,如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规
漏洞。 - Repeater(中继器): 对数据包进行重放(手动操作来触发单独的HTTP请求),分
析服务器返回情况和响应,判断修改参数的影响。 - Sequencer(会话): 用来检查Web应用程序提供的会话令牌的随机性,分析那些不
可预知的应用程序会话令牌和重要数据项的随机性,并执行各种测试。 - Decoder(解码器): 对数据进行加解密操作,包含url、html、base64等等。
- Comparer(对比): 用来执行任意两个请求、响应或任何其它形式的数据之间的比
较,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。 - Extender(扩展): 加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp
Suite的功能。 - Options(设置): 对Burp Suite的一些设置,如burp、字体、编码等。
- Alerts(警告): 用来存放报错信息的,用来解决错误。
4.配置代理
(1)添加foxyproxy附件功能。
在“设置”->“添加附件”中搜索“foxyproxy”。
添加安装该附件,如下图所示。
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
