4.Burp Suite 入门篇 —— 设置抓包范围 target scope

已于 2024-04-09 10:44:43 修改
阅读量698 收藏 9
点赞数 4
分类专栏: Burp Suite 文章标签: 前端 web安全 网络安全 测试工具
于 2024-04-09 10:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouTheFreedom/article/details/137541758
版权

目录

前言

启动内置浏览器

浏览目标网站

查看 HTTP 记录

设置目标范围 target scope

过滤 HTTP 流量记录

前言

本篇文章主要讲如何在使用 burpsuite 时设置 target scope,也就是抓包的目标范围

目标范围限制了 burp 只捕获要测试的 URL 地址或域名。

这样就能够过滤掉浏览器和其他网站产生的无关流量,只保留我们需要的流量记录

启动内置浏览器

启动 burp 内置浏览器,访问下面的靶场网址:

Lab: Information disclosure in error messages | Web Security Academy

点击页面按钮 ACCESS THE LAB,进入靶场

如果有提示,登陆之前注册好的 Burp 官网账号,等页面加载几秒钟后,就能看到靶场的虚拟购物网站了。

浏览目标网站

在浏览器里点击商品页面来访问目标网站

查看 HTTP 记录

burp 切换到 Proxy > HTTP history 打开历史记录选项卡。

单击最左边列的标题(#),流量记录会按降序进行排序。

这样就能很方便的从顶部查看最近的请求

细心的同学会发现,上图的 HTTP 历史记录里有浏览器发出的每个请求的详细信息

还包括了与本次访问的目标网站不相关的第三方网站流量,如 YouTube 和 Google Analytics 等。

虽然第三方网站流量不是我们关注的重点,但太多的话会严重影响我们研究目标网站流量

所以我们需要过滤掉这些干扰流量。

设置目标范围 target scope

切换到 Target > Site map 标签,左侧面板记录了浏览器访问过的的域名列表。

右键点击列表中的目标网站,选择 Add to scope

弹出提示窗口,单击 “yes” 以过滤目标网站范围外的流量记录。

过滤 HTTP 流量记录

点击 HTTP history 标签下方的筛选器

弹出过滤选项窗口,勾选 Show only in-scope items,仅显示目标范围内的历史记录。点击 Apply 确认退出

重新查看 HTTP 历史记录,就只剩下目标网站流量记录了,其他网站都会被隐藏。

接下来浏览目标站点时,目标范围之外的流量也不再被记录到 site map(站点地图) 或流量历史记录中

到此我们已经成功地学会如何设置 target scope,有效地过滤和简化了 HTTP 流量记录

银河外卖员
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuite的使用
lucia的博客
06-07 2107
环境:java 前提:浏览器net setting中设置手动代理,安全中添加证书 1.proxy代理模块 拦截、查看、修改所有客户端和服务器之前传输的数据 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210607204239954.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80OTg4M
Burp基本设置
weixin_44478363的博客
04-06 3011
安装burp证书 一、证书下载 方法1、 启动burp 选择Proxy-import/export CA certificate导出证书 方法2 访问127.0.0.1:8080下载证书 端口为此处端口 二、安装证书 运行下载好的证书,点击安装证书-存储位置任选- 选择将所有的证书都放入下列存储,点击浏览-选择受信任的根证书颁发机构。下一步点击完成 安装证书为了能够识别https Burp功能初识 target(目标)–显示目标目录结构的一个功能 proxy(代理)–拦截http/https的代
新手配置Burp Suite
m0_51674437的博客
07-27 730
新手知道,9步配置好Burp_suite
网络安全Burpsuit 学习笔记(一)
Keylion ,Your Hero
07-28 6302
1.初识Burpsuit Burp Suite是用于攻击 web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 Burp Suite能高效率地与单个工具一起工作,例如: 一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指...
Burp suite常用操作(Target、Option)
m0_61506558的博客
08-11 1972
如果只保留URL的值,HTTP响应里面的set-cookie值不会同步,Token同理,BP提供此处方法,获取到BP代理的URL。一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大。CA颁发的证书,包含机构的公钥,并且用CA的公钥对机构公钥摘要加签。BP提供可视化对比二次HTTP请求的工具,选择二次数据包进行对比。限定Sitemap和HTTP history记录哪些域的内容。浏览器利用CA的公钥对摘要进行验签,确定机构公钥合法。浏览器用机构的公钥与服务器协商会话密钥。......
Burpsuite的使用技巧
cike_y
05-04 1103
在使用抓包工具时总会遇到一些问题,例如不能翻墙抓包抓包时会抓到其他网址等等,下面主要记录的一些常用的抓包姿势。
Burpsuite+1.7.26+Unlimited抓包改包发包工具
07-16
二.burp suite使用(一) --- 抓包,截包,改包 https://blog.csdn.net/jinzhichaoshuiping/article/details/47324955 1.设置浏览器-代理 127.0.0.1 8080 2.配置burp监听端口,打开burp-》Proxy-》options-》add 三...
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
BurpSuite.rar 抓包工具
06-16
BurpSuite 抓包工具 java
抓包神器:burpsuite+教程
01-12
burpsuite是学习网络安全的必备软件,是一个开源的用于抓包的软件,下载文件后直接点击jar那个包就可以运行了,前提要求是一定要安装Java环境
burp-scope-monitor:Burp Suite扩展程序可监视新范围
05-17
打p示波器监控器扩展 Burp Suite扩展,用于监视和跟踪测试的端点。 主要特点 测试应用程序时跟踪唯一端点的简便方法 将各个端点标记为已分析或未分析 立即了解何时请求了未经测试的新端点 可从“代理”选项卡访问(右键单击,将请求标记为已分析/不可) 发送到中继器 Burp范围规则的执行 将状态文件直接导入/导出到CSV文件中 自动保存选项 安装 确保在Extender-> Options-> Python Environment下配置了Jython。 有关更多说明,请在其查看PortSwigger的官方说明。 git clone git@github.com:Regala/burp-scope-monitor.git 进口扩展- -在扩展>扩展- >添加- >选择的Python - >选择 文献资料 “常规”或“导入”选项卡中可用的大多数选项都是自动解释的。 “转发器请求自动标
BurpSuite的下载安装_http抓包改包重放_安全渗透教程.rar
11-14
BurpSuite2021的下载安装,环境变量配置,http抓包,改包,重放, 以及安全测试,渗透攻击教程
burp proxy 过滤_burpsuite只拦截特定网站数据包教程
weixin_39856803的博客
12-20 1479
一、背景说明在配置burpsuite代理截包时经常会遇到这样的情况:浏览器经常自己发一些包(收集用户信息),干挠渗透测试人员对目标网站的检测;如果是代理手机,那就是很多APP都时不时发一些包,干挠渗透测试人员对目标APP的检测。浏览器和APP发包我们是不好限制,但burpsuite有只拦截指定的网站的数据包,其他网站的数据包默认放行的配置。二、操作说明启动burpsuite--切换到“Proxy”...
Burp设置过滤域名(只需两步)
热门推荐
weixin_43120944的博客
10-20 1万+
Burp设置过滤域名(只需两步) 1.Target->Scope设置后 2.去Proxy设置一下才会生效,不然不会生效的
BurpSuite-安全测试神器之Burp Target
u012343977的博客
02-27 809
Burp Target Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息,下面我们就分别来看看Burp Target的三个组成部分。 目标域设置 Target Scope 站点地图 Site Map issue definition 问题定义 目标域设置 Target Scope Target Scope中作用域的定义用法: 当我们对某个产品进行渗透测试时,可
安全测试工具Burpsuit和OWASP ZAP使用入门指南
软件测试技术交流分享
03-09 1064
burpsuit提供了自动化的方式对普通漏洞进行渗透测试,通过如下步骤就可以实现自动化扫描。我们通过【目标】-【目标范围】来设定我们自动化测试范围(如下图所示)
BurpSuite使用——HTTP_burpsuite内嵌浏览器,2024年最新算法题+网络安全
最新发布
2301_78399639的博客
04-17 777
对一企业办公系统的源代码进行授权检测,在检查过程中,发现程序员(可能是临时工)使用PHP程序,处理服务端接收客户端传递的数据时,使用的是$_REQUEST[],前端使用的是GET方式,然后就遇到问题了"Request-URI Too Long"。$_GET 变量接受所有以 get 方式发送的请求,及浏览器地址栏中的?之后的内容。$_POST 变量接受所有以 post 方式发送的请求,例如,一个 form 以 method=post 提交,提交后 php 会处理 post 过来的全部变量。
渗透测试实战-BurpSuite 使用入门
似水流年的博客
12-14 2253
近期笔者在学习 web 渗透测试的相关内容,主要是为了公司之后的安全产品服务。渗透测试本身在学习过程中还是很有意思的,有一种学习到了之前想学但是没学的黑客技术的感觉,并且对笔者已掌握的许多知识做了有益的补充。要学习渗透测试,首先需要明白什么是渗透测试,以及如何进行渗透测试,这其中很多资料可以在网上找到。渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。渗透测试人员使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。渗透测试通常会模拟各种可能威胁您业务的攻击。
burpsuite手机抓包设置
08-29
要在Burp Suite中进行手机抓包,需要进行以下设置: 1. 首先,在Burp Suite的Proxy选项中配置代理监听。将IP地址设置为你当前上网的网卡的IP地址,端口可以任意设置(比如设置为8080)。 2. 接下来,使用手机连接共享热点,并将该无线局域网(WLAN)的代理设置为手动设置。将IP地址设置为你电脑上网的网卡的IP地址(比如无线网卡的IP地址),端口设置为8080。 3. 安装Burp Suite证书。将下载的cacert.der文件更改为cacert.cer,然后在手机上点击下载文件并确认安装。这样就可以开始抓取手机上的网络包了。 通过以上步骤的设置,你就可以在Burp Suite中进行手机抓包了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [burpsuite手机APP抓包配置流程](https://blog.csdn.net/xiaokui9/article/details/80165787)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Burpsuite系列 -- (PC端、手机端)抓包配置](https://blog.csdn.net/weixin_41489908/article/details/106183636)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值