4.Burp Suite 入门篇 —— 设置抓包范围 target scope

已于 2024-04-09 10:44:43 修改
阅读量1.8k 收藏 13
点赞数 5
分类专栏: Burp Suite 文章标签: 前端 web安全 网络安全 测试工具
于 2024-04-09 10:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouTheFreedom/article/details/137541758
版权
本文详细介绍了如何在Burpsuite中设置目标范围(targetscope),以过滤不必要的第三方流量,只保留与测试网站相关的HTTP记录,提高抓包效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

前言

启动内置浏览器

浏览目标网站

查看 HTTP 记录

设置目标范围 target scope

过滤 HTTP 流量记录

前言

本篇文章主要讲如何在使用 burpsuite 时设置 target scope,也就是抓包的目标范围

目标范围限制了 burp 只捕获要测试的 URL 地址或域名。

这样就能够过滤掉浏览器和其他网站产生的无关流量,只保留我们需要的流量记录

启动内置浏览器

启动 burp 内置浏览器,访问下面的靶场网址:

Lab: Information disclosure in error messages | Web Security Academy

点击页面按钮 ACCESS THE LAB,进入靶场

如果有提示,登陆之前注册好的 Burp 官网账号,等页面加载几秒钟后,就能看到靶场的虚拟购物网站了。

浏览目标网站

在浏览器里点击商品页面来访问目标网站

查看 HTTP 记录

burp 切换到 Proxy > HTTP history 打开历史记录选项卡。

单击最左边列的标题(#),流量记录会按降序进行排序。

这样就能很方便的从顶部查看最近的请求

细心的同学会发现,上图的 HTTP 历史记录里有浏览器发出的每个请求的详细信息

还包括了与本次访问的目标网站不相关的第三方网站流量,如 YouTube 和 Google Analytics 等。

虽然第三方网站流量不是我们关注的重点,但太多的话会严重影响我们研究目标网站流量

所以我们需要过滤掉这些干扰流量。

设置目标范围 target scope

切换到 Target > Site map 标签,左侧面板记录了浏览器访问过的的域名列表。

右键点击列表中的目标网站,选择 Add to scope

弹出提示窗口,单击 “yes” 以过滤目标网站范围外的流量记录。

过滤 HTTP 流量记录

点击 HTTP history 标签下方的筛选器

弹出过滤选项窗口,勾选 Show only in-scope items,仅显示目标范围内的历史记录。点击 Apply 确认退出

重新查看 HTTP 历史记录,就只剩下目标网站流量记录了,其他网站都会被隐藏。

接下来浏览目标站点时,目标范围之外的流量也不再被记录到 site map(站点地图) 或流量历史记录中

到此我们已经成功地学会如何设置 target scope,有效地过滤和简化了 HTTP 流量记录

【神兵利器】——199、Burpsuite之请求重发模块
Fly_鹏程万里
10-24 581
Burpsuite为渗透测试人员提供了请求重发的功能模块,渗透测试人员可以对捕获到的历史报文中的数据进行多次的更改进行Fuzzing尝试来对网站进行安全评估,同一个报文可以进行N次更改与重复测试评估,同时在最新的Burpsuite版本中提供了将多个请求组合放到一个请求包中进行发送的功能,即组合发送。
Burp(BurpSuite)设置抓取和不抓取域名小技巧
热门推荐
weixin_55505454的博客
09-04 1万+
Burp抓包经常出现想抓个目标包,结果中间夹杂着一大堆无关的包,像Firefox和Chrome的官方的心跳包、通信包等,让人很烦,这里有几个方法可以应对这种情况。
BurpSuite-安全测试神器之Burp Target
u012343977的博客
02-27 903
Burp Target Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息,下面我们就分别来看看Burp Target的三个组成部分。 目标域设置 Target Scope 站点地图 Site Map issue definition 问题定义 目标域设置 Target Scope Target Scope中作用域的定义用法: 当我们对某个产品进行渗透测试时,可
Burp抓包工具--是渗透测试最重要的工具
最新发布
JLN1789015334的博客
04-05 950
主要是讲述了关于burp抓包工具的相关操作和相关选项的内容和含义。
1-5 Burpsuite Target介绍
山兔的博客
11-19 1517
Target介绍 Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况,比如说目录分级以及当前的工作涉及哪些目标域、分析可能存在的攻击面等信息,使得我们对目标有一个更加直观的认识 这个是我们打开Target的界面,发现它有Scope、Sitemap两个选项 Target 作用域Scope介绍 Target Scope中作用域的定义比较宽泛,通常来说,当我们对某个产品进行渗透测试时,可以通过域名或者主机名去限制拦截内容,避免拦截
Burp Suite Target Module - 目标模块
weixin_30379973的博客
05-27 214
模块目的之一:获取网站分析 1、从Proxy - HTTP history界面选中需要加入Target Scope的Host 地址,右击,选中Add to Scope. 2、打开Target - Scope,可以看到加入范围的地址 3、在Target - Site map 界面查看网站相关信息 转载于:https://www.cnblogs.com/keepmoving...
BurpSuite学习篇】三:Target 目标模块
野原新之助
02-20 919
Target目标模块,会显示出访问过的、以及页面中有的链接URL,其中,黑色的是通信成功、真正访问的;灰色的只是爬出的,没有真实访问。 对站点右键,就可以调动BP使用其他模块,例如爬网、扫描、比较等。
BurpSuite-Target使用
elmoyan的博客
10-10 2395
BurpSuite-Target模块如何使用?
BurpSuitetarget介绍
haoahaoahaoahao的博客
01-29 818
compare site maps比较站点地图,expand branch这个功能的目的是显示目标应用程序站点地图中特定分支的详细信息,使你能够更充分了解该分支的结构和内容。Burp的免费版中关于渗透测试需要的常用模块:Proxy 模块,intruder模块,Repeater模块,sequencer模块,decoder模块,comparer模块。这个功能的主要目的是允许你在一个新的窗口中查看站点地图,与当前的站点地图窗口分开显示。点击add显示添加要包含在作用域中的URL,将定义的URL的范围
burpsuite抓取PHP,BurpSuite 抓包 —— Spider 智能爬虫。
weixin_42515158的博客
03-16 770
马上注册,结交更多好友,享用更多功能^_^您需要 登录 才可以下载或查看,没有帐号?立即注册x本帖最后由 wei_Y 于 2016-4-18 22:09 编辑BurpSuite 抓包 —— 智能爬虫.Spider是Burp的第三个模块,它提供爬虫功能,帮助来爬取网站目录结构。(此爬虫异常凶猛!慎用。)0. 攻略! 在Proxy里抓到包右键发送到spider,或者在Target模块右键发送到spid...
ubuntu下使用burpsuite移动设备抓包.docx
10-30
Ubuntu 下使用 BurpSuite 进行移动设备抓包 BurpSuite 简介 BurpSuite 是一款功能强大且广泛应用于 Web 应用程序安全测试的抓包工具。它可以帮助测试人员和安全研究员对 Web 应用程序进行深入的安全测试和分析。...
burp-scope-monitor:Burp Suite扩展程序可监视新范围
05-17
打p示波器监控器扩展 Burp Suite扩展,用于监视和跟踪测试的端点。 主要特点 测试应用程序时跟踪唯一端点的简便方法 将各个端点标记为已分析或未分析 立即了解何时请求了未经测试的新端点 可从“代理”选项卡访问(右键单击,将请求标记为已分析/不可) 发送到中继器 Burp范围规则的执行 将状态文件直接导入/导出到CSV文件中 自动保存选项 安装 确保在Extender-> Options-> Python Environment下配置了Jython。 有关更多说明,请在其查看PortSwigger的官方说明。 git clone git@github.com:Regala/burp-scope-monitor.git 进口扩展- -在扩展>扩展- >添加- >选择的Python - >选择 文献资料 “常规”或“导入”选项卡中可用的大多数选项都是自动解释的。 “转发器请求自动标
Burpsuite核心——Proxy模块的使用
hackzkaq的博客
12-28 2607
> `搜索公众号:白帽子左一,每天更新技术干货! 之前已经对burp的使用做过分享了"渗透测试神器|一文带你精通Burp(附下载)"(同样,喜欢看视频的也可文末扫码看视频教程演示.) 那篇比较全,但是有的板块并没有说的很细致,毕竟学习马虎不得,所以今天这篇文章是主要对burp的Proxy模块作出详细的说明使用! 从Proxy模块开始是因为这个模块可以说是burpsuite的核心,多数的功能都是基于在这个模块的基础上去使用的 使用前的两个准备 1.打开Burpsuite 2.配置好浏览器代理,并且安装
burp--target
朝阳似锦 晖映山河
08-19 434
一、Target介绍 1、Burp Target组件主要包含了站点地图、目标域、Target工具三部分组成,可以更好的了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等。 2、Target站点地图sitemap,site map的左边为访问的URL,按照网站的层级和深度,树形展开整个应用系统的结构和关联其他url的情况;右边显示的是某一个url被访问的明细列表,共访问那些url,请求和应答内容分别是什么。基于左边的树形结构,我们可以选择某个分支,对指定的路径进行扫描...
web安全最亲密的战友Burp Suite2--target模块体验_burp suitetarget
2401_84150320的博客
04-17 1052
该模块包含三个子模块,分别为site map(网站地图)、Scope范围)、issue definitions(字段、专业词汇说明)
BurpSuite使用详解(二)Target功能
weixin_38115199的博客
02-27 3412
BurpSuite target功能Target 目标功能Site mapScope Target 目标功能 目标模块用于生成站点地图(sitemap)、设置作用域(target scope)、生成安全分析 Site map 你使用proxy抓取一些信息之后,会在target模块中生成站点信息。 左边信息栏中,会根据proxy模块信息和被动爬虫信息,自动生成一个站点地图,以树状结构表示该站点的不完...
Burp入门第五篇】使用BurpSuite进行条目排序、隐藏流量、全局搜索、设定条目范围
等风来
04-06 2341
【1】在对一个网站进行合法观察、测试的过程中,加载出的HTTP历史条目是十分繁多的,于是,对请求进行排序、过滤等显得至关重要。【2】通常HTTP条目中包含对多个站点的请求,若我们只想观察某个或某几个主机列表,可以通过以下步骤实现。此后,如果我们继续浏览任何站点,超出范围的流量不再显示在代理历史记录中。(因为已设定了范围)实现HTTP条目的升序或降序,这样我们可以在顶部看到最先或最旧的请求。上图过滤设置中,有多种过滤方式,例如隐藏某文件扩展名的条目等。右键单击目标站点的节点,然后单击。
Burp基本设置
weixin_44478363的博客
04-06 3138
安装burp证书 一、证书下载 方法1、 启动burp 选择Proxy-import/export CA certificate导出证书 方法2 访问127.0.0.1:8080下载证书 端口为此处端口 二、安装证书 运行下载好的证书,点击安装证书-存储位置任选- 选择将所有的证书都放入下列存储,点击浏览-选择受信任的根证书颁发机构。下一步点击完成 安装证书为了能够识别https Burp功能初识 target(目标)–显示目标目录结构的一个功能 proxy(代理)–拦截http/https的代
Burp Suite基础教学 之 Target
RaAlGhul的博客
11-29 2369
在介绍Target功能之前,先介绍另一个东西 -- 浏览器代理。 那什么是浏览器代理? 提供代理服务的电脑系统或其它类型的网络终端称为代理服务器(英文:Proxy Server)。一个完整的代理请求过程为:客户端首先与代理服务器连接,接着根据代理服务器所使用的代理协议,请求对目标服务器创建连接、或者获得目标服务器的指定资源。而所谓的浏览器代理就是给浏览器指定一个代理服务器,浏览器的所有请求都会
全面介绍BurpSuite v2.1:网络抓包神器的使用与分享
这暗示了Burp Suite的一个重要功能——抓包。通过抓包Burp Suite可以拦截和分析网络传输的数据包,这是渗透测试和安全分析的关键步骤。 在网络安全领域,使用Burp Suite进行安全测试是一种常见的专业操作,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值