burpsuite 的应用场景:
- HTTP服务器接口测试。
- HTTP客户端和HTTP服务端通信测试。
- Cookie 统计分析。
- HTTP服务器 WEB安全扫描。
- WEB页面抓取。
- WEB常用编码和解码。
- 字符串随机性简单分析。
- 文件差异对比分析。
burpsuite 的模块:
- Target (靶;目标)
- Proxy (代理人;委托书)
- Spider (蜘蛛;弹性束带)
- Scanner (扫描器)
- Intruder (侵入者)
- Repeater(连发枪;转发器): 重放模块
- Sequencer(音序器;序列测定仪)
- Decoder (解码器,译码器)
- Comparer (比较器) : 对比模块
- Extender (扩充器;延长器)
- Project options (计划;方案,选择)
- User options (用户,选择)
- Alerts (输出,通知) : 输出burpsuite 的信息
Proxy 模块:重放
- Intercept (截断;窃听):
- HTTP history (HTTP 历史记载) :
- WebSockets history (Web插座 历史记载) :
- Options (选择;设置)
- Proxy Listeners (代理侦听器)
- Intercept Client Requests (拦截客户端请求)
- Intercept Server Responses (拦截服务器响应)
- intercept Web Sockets Messages (拦截Web Sockets消息)
- Response Modification (修改返回值)
- Match and Replace (匹配和替换)
- SSL Pass Through (SSL通过)
- Miscellaneous (混杂的,多方面的)
Intruder 模块 :(连环击)
- Target (目标)
- Positions (位置;姿势) :选择攻击参数,进攻方法
- Sniper : 只能设置一个进攻内容,用设置的内容去挨个进攻选中的参数
- Battering ram : 只能设置一个进攻内容, 用设置的内容去进攻选中的参数,参数进攻的内容是一样的
- Pitchfork :选几个参数就有几个进攻的内容,设置相同的进攻数量,进攻的内容从你设置的内容一个个往下来
- Cluster bomb : 选几个参数就有几个进攻的内容,这个模式会把进攻的内容都跑完
- Payloads (装载量;弹头) :设置攻击的内容
- Payloads Sets (进攻方案)
- Payloads Options (技工方案的设置)
- Payloads Processing
- Payloads Encoding
- Options (选择)