安全测试必学神器 --BurpSuite 安装及使用实操

于 2024-05-16 19:54:43 发布
阅读量607 收藏 17
点赞数 19
分类专栏: 程序员 职场经验 软件测试 文章标签: 功能测试 测试工具 单元测试 程序员 自动化测试 安全测试 BurpSuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AI_Green/article/details/138962201
版权
软件测试 同时被 3 个专栏收录
1903 篇文章 107 订阅
订阅专栏
程序员
1881 篇文章 51 订阅
订阅专栏
职场经验
655 篇文章 1 订阅
订阅专栏

2024软件测试面试刷题,这个小程序(永久刷题),靠它快速找到工作了!(刷题APP的天花板)_软件测试刷题小程序-CSDN博客文章浏览阅读3.4k次,点赞86次,收藏15次。你知不知道有这么一个软件测试面试的刷题小程序。里面包含了面试常问的软件测试基础题,web自动化测试、app自动化测试、接口测试、性能测试、自动化测试、安全测试及一些常问到的人力资源题目。最主要的是他还收集了像阿里、华为这样的大厂面试真题,还有互动交流板块……_软件测试刷题小程序​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502​编辑https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502icon-default.png?t=N7T8https://blog.csdn.net/AI_Green/article/details/134931243?spm=1001.2014.3001.5502

BurpSuite是一款功能强大的集成化安全测试工具,专门用于攻击和测试Web应用程序的安全性。适合安全测试、渗透测试和开发人员使用。本篇文章基于BurpSuite安装及常用实操做详解,如果你是一名安全测试初学者,会大有收获!

一、BurpSuite简介

BurpSuite 是用于攻击web 应用程序的集成平台,包含了许多Burp工具。BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报等。

二、BurpSuite下载

1、进入官网https://portswigger.net,点击Products->选择需要的软件产品。Burp Suite有免费版和付费版之分。免费版虽然功能有限,但已经足够初学者使用。如果需要更多高级功能,可以考虑购买专业版。

图片

2、点击Download, 选择自己需要的版本、操作系统,点下载。

图片

图片

三、BurpSuite安装

1、Burp Suite需要依赖到java环境,在进行安装之前,需要先安装好jdk并配置环境变量,这步可自行百度解决。在cmd窗口,输入java -verison可查看java环境是否正常。

图片

2、双击下载好的BurpSuite安装包,自定义安装目录,一路下一步。

图片

3、安装完成后,进入安装目录,找到BurpSuiteCommunity.exe,双击开始运行

图片

4、一路下一步,直到工具操作界面。

图片

四、Firefox浏览器SwitchyOmega插件

为了配合burpsuite操作web项目,我们在浏览器中安装SwitchyOmega插件。

1、在Firefox浏览器的扩展-管理扩展中,搜索SwitchyOmega,并添加

图片

2、添加后,打开插件,点击选项

图片

3、新建情景模式,输入名称、勾选代理服务器,点击新建

图片

4、在新建界面,进行如下配置,点击“应用选项”

图片

五、BurpSuite操作界面基本介绍

  • Proxy: 一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

  • Spider: 一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

  • Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。

  • Intruder: 一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。

  • Repeater: 一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。

  • Sequencer: 一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

  • Decoder: 一个进行手动执行或对应用程序数据者智能解码编码的工具。

  • Comparer: 一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

六、BurpSuite抓取https流量

有些网站是https请求,需要安装证书后,burpsuite才能抓取到https流量。

1、找到Proxy->Proxy settings,点击“Import /export CA certificate”,导出证书

图片

2、选择第一个,点击下一步

图片

3、选择文件目录,并命名为burpsuite.cer, 点击Next,导出成功。

图片

4、点击firefox选项,找到查看证书,导入之前导出的证书文件

图片

七、BurpSuite密码爆破实操

1、浏览器访问网站(这里选择自己搭建的靶场或项目来练习,其他网站需获得授权),启动代理

图片

2、打开burpsuite->Proxy->Intercept,点击Intercept is off

图片

3、再去操作登录,输入admin、密码先随意输入一个,点击Login,就可以看到拦截的登录信息。右键拦截的登录信息界面-->选择 Send to Intruder。

图片

4、切换到Intruder,进行暴力攻击设置。Positions页面选择Attack type、选中需要暴力破解的密码字段,点击Add §。

图片

5、Payloads页面,负载默认1、负载类型选择Simple list;点击Load... 从本地选择密码字典文件。点击Start attack,开始暴力破解。这里会弹窗提示使用专业版本,功能会更全面。

图片

6、查看密码暴力破解结果,可以看到其中password这行,Length长度跟其他不一致;点击查看其返回结果,查看Render页面回显,提示"Welcom ....",说明password为正确密码,登录成功。

图片

八、BurpSuite支付漏洞实操

针对软件的支付/充值/兑换功能,对整个操作流程进行抓包,判断有无敏感信息可修改。

1、访问待测的支付界面(以下仅为演示示例),填入订单数据,先不购买

图片

2、burpsuite中,进入Proxy->Intercept,点击Intercept is off,开启数据截获;再去支付界面点击“立即购买”。可以看到捕获数据如下:

图片

3、修改敏感数据price=5,点击Intercept is on

图片

4、可查看到当前网站支付终止,篡改金额并未成功。如果篡改成功,那就说明存在支付漏洞。

图片

最后

此文中提到的工具及技术操作,仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。

学无止境,行以致远!

行动吧,在路上总比一直观望的要好,未来的你肯定会感谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入群: 759968159,里面有各种测试开发资料和技术可以一起交流哦。

最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】

​​​软件测试面试文档

我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。

在这里插入图片描述

在这里插入图片描述

软件测试君
关注
  • 19
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-02-BurpSuite工具详细安装教程
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-29 1万+
BurpSuite是一款对web应用进行安全测试的集成平台,基于Java语言开发(jar形式运行),运行需要Jdk环境。
burpsuite安装使用教程(含JDK配置环境)
剁椒鱼头没剁椒的博客
12-06 8836
  这里我准备了专业版的,社区版没有扫描功能,而专业版是有扫描功能的。   JDK:下载链接 提取码:spn1   burpsuite:下载链接 提取码:ebwd  这里需要说明一下我提供的是17版本的,而我安装的是19的,不影响一样的操作,17是能用的。这里我打开JDK一点小慢,可能需要稍等那么,实体机不太清楚,如果也迟迟不出现,那么就稍等一下。   出来界面后,我建议直接一直默认下一步安装,弹出什么都下一步,如果需要调整文件夹的话,那么一定要全英文的,不能含有中文,否则就会出现安装失败的情况,这种就需要
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
2201_75735270的博客
10-31 2723
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
BurpSuite全网最详细安装教程
qq_59611876的博客
12-18 3740
零基础安装burpsuite!!
Burpsuite介绍及2022.8.2版本超详细安装教程(图文版)
热门推荐
weixin_44716769的博客
08-26 2万+
Burpsuite介绍及2022.8.2版本安装 Burpsuite是什么? Burpsuite环境配置及安装 JDK选择及配置 Burpsuite下载安装 Burpsuite快捷启动方式选择 BAT批量处理文件启动(快捷) CSharp编程启动(快捷) CSharp编程启动(推荐) 高版本JDK与低版本JDK如何共存.........
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker概述自动化检测未授权访问漏洞关于该插件的实现细节,参考快速开始使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台)authParams.cfg:存储授权参数,...
jdk-17 ,BurpSuite 新版本环境及报错
04-25
jdk-17 ,BurpSuite 新版本环境及报错
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
headless-burp:使用Burp Suite自动化安全测试
05-17
提供一套扩展程序和一个maven插件,以使用自动执行安全测试。 有关该项目的完整文档,请访问 无头打p(扫描仪)现已发布到 方案D:扫描的内容不仅限于GET请求。 使用从运行的功能测试获得的数据作为扫描的输入 tl...
BurpSuite安装教程
最新发布
m0_59205875的博客
02-22 2411
文本将介绍BurpSuite的功能描述、安装等。Burp Suite 是一个由 PortSwigger Web Security 开发的集成的平台,专为网络安全专家提供用于执行安全测试的工具。它广泛地用于渗透测试(俗称“渗透测试”)和网络应用程序安全评估。这个工具集包括了许多不同的工具,每个工具都有其特定的用途,从而形成了一个强大的测试套件。
Burp Suite安装
2301_77512689的博客
04-20 239
然后把第三个activation response的内容复制到第三个框paste response中,点击next.2、将下载的工具解压后打开(这里使用的是2.0破解版的),双击点击第一个.jar运行程序。1、首先,burp suite是java下的,所以电脑上需要安装java运行环境。6、点击复制请求按钮,并将这段话粘贴在一开始的第二个框中。4、将上一步复制的License粘贴进去后点击next.10、下图就是burp suite启动成功的页面。3、将license里面的秘钥复制后点击run.
BurpSuite安装和基础使用教程(已破解)
m0_74914256的博客
02-23 6426
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。 它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。那么我们开始安装教程
Windows 上Burp Suite的安装使用
weixin_45214325的博客
03-01 2321
已请求的项目显示为黑色,其他项目显示为灰色。选择此选项后,当项目重新打开时,Spider 和 Scanner 工具将自动暂停,以避免向现有已配置的目标发送任何无意的请求。完成上述工作后,进入Proxy–Intercept页面Intercept is off /on按钮是开启或关闭拦截功能,开启拦截功能后即可拦截请求信息,修改其中参数,然后点击Forward(放行)便可将修改过参数的请求发送至目标服务器。使用项目保存的选项 - 此选项在重新打开现有项目时可用,并将使用保存在工程文件中的配置打开项目。
Web安全神器-Burpsuite社区版/专业版下载、安装使用教程
hack0919的博客
05-30 7051
Burp Suite是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用,同时还可以做抓包分析、密码暴力破解等,是比较常用的一款网络安全的工具。
Burpsuite 史上最详细 安装教程
weixin_54161921的博客
06-28 1万+
以Windows 为例子进行 安装 因为BP是使用 Java 语言开发的 所以在安装之前我们要先下载一个Java的插件才可以运行BP 下载地址:链接:https://pan.baidu.com/s/1XhLYVAfmIRWfamRBgl_aYQ 提取码:wihx 接下来双击运行程序 开始安装 点击下一步 点击下一步 这里开始安装 这里会弹窗 更改文件保存位置 在C盘下新建文件夹 jre 点击下一步 接下来耐心等候 就可以了 安装完成的弹窗 接下...
Burpsuite2021安装和基本使用
baidu_41553551的博客
04-03 3560
1、解压文件 2、修改burpsuite.bat文件 原先 修改后(注意--前面有个空格) 3、打开burpsuite.bat文件点击我接受 4、
burpsuite 启动问题
u012514940的专栏
04-12 6740
近两日想学习burpsuite,于是找了几篇文章关于安装burpsuite的,安装burpsuite然后让它运行还是很简单的,但是我遇到了一个奇怪的问题,就是在proxy option中那个running不能勾选中,我以为我配置有问题,其实下载安装好了之后简单的事用是不需要配置的,直接勾选running,然后讲浏览器配置成用代理就可以开始拦截了。       后来我自己琢磨发现是我的tomcat
burpsuite安装使用
07-28
Burp Suite是一个用于渗透测试的集成化工具,它可以帮助我们自动化或手动地进行对web应用的渗透测试和攻击。它由Java语言编写而成,因此具有跨平台性,可以在不同的操作系统上使用。Burp Suite的可执行程序是一个Java文件类型的jar文件。 要安装使用Burp Suite,您可以按照以下步骤进行操作: 1. 首先,您需要从官方网站下载Burp Suite的安装包。根据您的操作系统选择适当的版本。 2. 下载完成后,解压缩安装包到您选择的目录。 3. 运行Burp Suite的可执行文件,它通常是一个名为"burpsuite"的文件。 4. 当您第一次运行Burp Suite时,您可能需要配置一些参数,例如代理设置和证书安装。这些设置可以根据您的需求进行调整。 5. 一旦您完成了配置,Burp Suite就可以开始工作了。您可以使用它的各种工具来进行渗透测试,例如代理、扫描器、重放器等。 需要注意的是,免费版的Burp Suite有一些限制,例如无法使用一些高级工具。如果您需要更多的高级功能,可以考虑购买专业版。专业版与免费版的主要区别包括Burp Scanner工作空间的保存和恢复、拓展工具(如Target Analyzer、Content Discovery和Task Scheduler)等功能。 总之,Burp Suite是一个功能强大的渗透测试工具,它可以帮助您更好地进行对web应用的渗透测试和攻击。通过熟悉和使用Burp Suite,您可以使渗透测试工作变得更加容易、方便、轻松和高效。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [Burp Suite的安装使用](https://blog.csdn.net/zxcvbnmasdflzl/article/details/131575938)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [BurpSuite 2020.8 安装及代理配置](https://blog.csdn.net/weixin_47306547/article/details/118155780)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值