Burp模块

最新推荐文章于 2024-05-13 14:51:40 发布
最新推荐文章于 2024-05-13 14:51:40 发布
阅读量256 收藏
点赞数
文章标签: 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a987329381/article/details/130909892
版权

(一)Target模块

1.模块功能介绍

该模块包含三个子模块,分别为site map(网站地图)、Scope(范围)、issue definitions(字段、专业词汇说明)

如下图为target模块界面

2.各子模块介绍

(1)site map

该模块列明了正在抓取网站的主要内容,能直观的反映出整体概况

最左侧的为域名列表:完整列出了不同域名的路径

contents为各域名下的数据包列表:将数据包分门别类归纳到各自域名下,方便查看分析

request和response为数据包详细内容:展示请求包和响应数据包的详细信息

issuesp为工具自动扫描发现的疑似问题列表

inspector为问题明细

(2)scope

如下图为scope界面

目标域的设置主要是作用于以下几个方面:

    设置站点地图和http历史结果的显示
    设置Proxy拦截请求的种类
    设置Spider爬取请求的种类
    设置Scanner扫描安全漏洞的作用域
    指定Repeater和Intruder中的url

通过对Target Scope的设置,可以精确操作对象,减少不必要的数据分析,减少噪音。
————————————————
版权声明:本文为CSDN博主「KB-野原新之助」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_43968080/article/details/104409023

(3)issue definitions(字段、专业词汇说明)

这部分汇总列明了大量安全专业词汇的定义说明

 (二)Proxy模块

如下图为proxy界面

1.子模块简介

Intercept(拦截功能),这个是Proxy模块也是Burpsuite的核心功能,我们抓取数据包对数据包进行增删改等操作都是在这里面进行

HTTP history/WebSocket history(历史记录),这两个功能会记录通过Burpsuite代理发起的HTTP/WebSocket请求以及对应响应的内容

Options(Proxy配置),在这里面可以对Proxy模块的功能进行一些配置
————————————————
版权声明:本文为CSDN博主「zkzq」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/hackzkaq/article/details/122191972

2.Intercept(拦截功能)

点击intercept is off,然后它就会变成intercept is on,这样Burpsuite就会开始拦截我们通过浏览器发起的请求

(1)如果暂时不知道要抓哪个页面的请求我们可以先关闭拦截,等找到自己想要抓取的页面在打开拦截,然后刷新一下页面即可

(2)有时候Burpsuite会拦截很多不是我们想要的请求包,我们也可以重启开启一下拦截,然后马上刷新页面这样就可以抓到自己想要的包了

首先对按键进行解释:

Forward:将当前拦截的数据放行,如果还有拦截到其他数据的话,放行了当前这条就会显示拦截的下一条,这些数据就像排队出关一样

Drop:直接删除当前拦截的数据,那么这个请求就不会发出去了,自然也就不会有响应内容过来,页面会报错

Action:可以对当前数据进行的一些操作

Open Browser:这个是一个新功能,点击它会打开一个Chrome浏览器,这个浏览器应该是内置在Burpsuite中的,使用这个浏览器我们可以不用进行配置代理以及CA证书安装等操作直接开始测试

然后是数据区域中的标签含义

Raw:这个是数据的主要视图格式,它里面包含了HTTP请求的方法,地址,协议版本,请求头,等信息,如果是POST请求的话,在请求头的下面应该还会有请求的实体内容

Hex:这个是数据的二进制内容,它是以16进制的形式进行显示的,我们可以通过Hex编辑器直接对内容进行修改

\n这个的作用是显示当前请求数据中的换行符,效果很显而易见,要在Rwa视图中使用
————————————————
版权声明:本文为CSDN博主「zkzq」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/hackzkaq/article/details/122191972

更多功能不多介绍,在需要时进行补充

(三)Intruder模块

如下图界面

 

对请求参数进行修改,分析相应内容,获得特征数据
本质:
自动化发起HTTP请求
基于现成字典或者生成字典

下图为position界面

内含多种攻击方式,接下来逐个进行介绍

1.默认为sniper模式,即如果有多个变量,对每个变量依次进行破解,一次只替换一个变量

也就是说,如果有username和password两个变量,那么它会先对username进行爆破,password字段不会改变,然后username不变,再对password字段进行爆破

2.Battering ram 模式:对多个变量同时进行破解
比如有username和password两个字段,使用字典进行破解,那么每次都会用字典中的一个值将两个变量同时替换

3.pitchfork模式:每个变量对应一个字典,比如username和password,依次取其对应的字典中的一条数据对相应变量进行替换,如果两个字典条数不一样,那么一共会执行条数较少的那么多次,即不会交叉替换,只会按每个字典的顺序进行替换

4.Cluster bomb模式:这种模式在pitchfork模式上进行了改进, 即把不同变量对应的字典中的值进行了排列组合,实现了不同的组合攻击
————————————————
版权声明:本文为CSDN博主「pakho_C」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/pakho_C/article/details/122514816

 

Jo_y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Brup Target模块
haha的博客
07-06 168
Brup Target模块
burp模块的使用
mingyqf的博客
02-12 7963
intrude模块
Burp suite的模块介绍使用
最新发布
weixin_42515203的博客
05-13 858
Burp Suite工具的功能介绍。
Burp suite工具使用及功能模块介绍
weixin_44865501的博客
11-10 2137
安全渗透界使用最广泛的漏扫工具之一,能实现从漏洞发现到利用的完整过程。功能强大、配置较为复杂、可定制型强,支持丰富的第三方拓展插件。基于Java编写,跨平台支持,分为free (社区版)Professional版本 Target 目标模块用于设置扫描域(target scope)、生成站点地图(sitemap)、生成安全分析 Proxy 代理模块用于拦截浏览器的http会话内容 Spider爬虫...
Burp Suite常用模块介绍
mashiro_hibiki的博客
02-27 952
Proxy即为代理,在代理模块中可以配置代理的监听网卡和端口,在正确配置完成后,我们的流量才会经过burp,从下图可以直观的看出配置代理前后的流量走向。Intruder模块多用于做爆破、遍历或是Fuzz这种需要修改数据包中某个字段的重复性操作。Repeater模块直译过来就是重复的意思,再该模块中可以不断的修改数据包的数据并重新发包。在该模块中可以对字符进行编码或解码的操作。
一、Burp Suite模块的使用
java_java_cl的博客
01-03 347
实验报告 Burp 模块 实验环境:使用BurpUnlimited(Burp Suite)工具 实验要求和目的:Burp 8个模块的使用实列,练习渗透测试。 实验步骤: Proxy 监听代理模块 与其他模块配合使用 Burp 代理 浏览器代理:火狐浏览器代理、谷歌浏览器代理 证书,访问https 时需要证书,可以在burp 添加,火狐浏览器单独添加证书。 2.Repeat...
burpsuite新版的Spider模块Content discovery功能详解和实操.doc
03-20
burpsuite Spider模块Content discovery功能详解】 Burp Suite 是一款强大的网络安全工具,主要用于Web应用程序的安全测试。在新版中,它的Spider模块集成了Content discovery功能,这是一个强大的网站内容和功能...
burp pro 1.6
07-16
这个版本(1.6)特别强调了其Scanner模块,该模块Burp Suite的重要组成部分,用于自动化发现和识别潜在的安全漏洞。 Burp Suite是一款集成开发的渗透测试工具,由PortSwigger公司开发。它允许安全专业人员对Web...
burp suite手册中文001
06-24
它集成了多种模块,包括 Burp Proxy、Scanner、Suite Spider、Intruder、Repeater 和 Sequencer 等,为渗透测试提供了全面的解决方案。在这个手册中,我们将重点介绍 Burp Proxy 的使用,它是 Burp Suite 的核心组件...
BurpSuite----decoder模块(解码器)
11-23
其中,Decoder模块Burp Suite的一个重要组件,专门用于数据的编码与解码,帮助安全研究人员理解并操纵应用程序中的数据流。 Decoder模块Burp Suite中扮演着至关重要的角色,因为它能够处理和解析HTTP消息中的...
146-Burp识别验证码暴破密码
09-08
首先,需要打开拦截开关,对登录操作进行拦截抓包,然后发送到 Intruder 模块中。接着,需要选择攻击模式和攻击字段,标记密码和验证码的值。最后,需要点击“攻击”,即可暴破密码。 Burp Suite 的应用 Burp ...
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
Burp Suite之 target 功能的详细介绍与基本使用
03-18
Burp Suite之 target 功能的详细介绍与基本使用
BurpSuite 各模块使用
weixin_30675247的博客
02-02 283
Proxy 代理 对浏览器进行代理 对浏览器增加代理服务器 可以对http 请求进行监视 intercept is on 进行监控 off 不监控 可以任意修改 对任意的网络请求 进行爬虫 在 site map 可以看到说有的请求网站目录文件 可以在 spider options 设置网络爬虫规则 ...
Burp Suite之Target模块学习篇
three_year的博客
05-17 1113
BurpSuite介绍 BurpSuite是用于攻击web应用程序的集合平台。它包含了许多工具,并为这些工具设计了很多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架 BurpSuite安装 我安装的版本为1.7.37(破解版本),由于BurpSuite基于Java写的,所以需要先安装Java的环境,Java安装教程和BurpSuite安装教程都可以在百度进行搜索查看,这里就不演示了,破解过程在安装的过程一般都会有,但是
Burpsuite入门之target模块攻防中利用
sechelper的博客
02-11 262
用来收集目标站点的更多资产;探测一些自动加载的接口,内容等
burpsuite Target模块
weixin_42349846的博客
11-08 296
Burp Suite 介绍 Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。 所有的工具都共享一个能处理并显示 HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 Burp 模块介绍 Target Target 作为 Burp 的第一个模块,作用是一个站点地图,会在左侧出现所有通过...
BurpSuite-Target使用
elmoyan的博客
10-10 1783
BurpSuite-Target模块如何使用?
BurpSuite使用详解(二)Target功能
weixin_38115199的博客
02-27 3128
BurpSuite target功能Target 目标功能Site mapScope Target 目标功能 目标模块用于生成站点地图(sitemap)、设置作用域(target scope)、生成安全分析 Site map 你使用proxy抓取一些信息之后,会在target模块中生成站点信息。 左边信息栏中,会根据proxy模块信息和被动爬虫信息,自动生成一个站点地图,以树状结构表示该站点的不完...
burpsuite模块介绍
07-27
Burp Suite是一个用于攻击Web应用程序的集成平台,包含多个模块。其中常用的模块有: 1. Dashboard(仪表盘):用于显示任务和日志信息。 2. Target(目标):提供显示目标目录结构的功能,包括Sitemap(站点地图)和Scope(范围)。 3. Proxy(代理):作为Web浏览器与服务器的中间人,拦截HTTP/s请求的代理服务器。它包括Intercept(拦截)、HTTP history(历史记录)和Options(选项)等功能。 4. Spider(抓取):用于自动抓取目标站点的功能,包括Control(控制)和Options(选项)。 5. Scanner(扫描器):用于主动扫描目标站点的漏洞,包括Issue actively(主动发现漏洞)、Scan queue(扫描队列)、Live scanning(实时扫描)、Issue definitions(漏洞定义)和Options(选项)等功能。 6. Intruder(入侵):提供高精度的可配置工具,用于爆破攻击、获取信息以及使用fuzzing技术探测漏洞等。包括Attack Target(攻击目标)、Positions(位置)和Payloads(有效载荷)等功能。 7. Repeater(中继器):通过手动触发单个HTTP请求,并分析应用程序的响应包。 8. Sequencer(定续器):用于分析不可预知的应用程序会话令牌和重要数据的随机性。 9. Decoder(解码器):用于解码加密或编码的数据。 10. Comparer(比较器):用于对比数据进行差异化分析。 11. Extender(拓展器):可以加载Burp Suite的拓展模块和第三方代码。 以上是Burp Suite的一些常用模块介绍。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Burp suite 常用模块详解](https://blog.csdn.net/qq_45590334/article/details/119737364)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [burpsuite模块详解](https://blog.csdn.net/c_programj/article/details/116427142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值