《Web安全攻防 渗透测试实战指南 》 学习笔记 (三)

最新推荐文章于 2024-08-02 22:55:35 发布
最新推荐文章于 2024-08-02 22:55:35 发布
阅读量609 收藏 8
点赞数 3
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_small_rabbit/article/details/101110905
版权
本文是《Web安全攻防 渗透测试实战指南》学习笔记的第三部分,重点介绍了Burp Suite这款集成化渗透测试工具。内容包括Burp Suite的安装、配置,以及Scanner模块的漏洞扫描、Intruder模块的自动化攻击、Repeater模块的请求响应分析、Compararer模块的差异比较和Sequencer模块的应用。通过实例展示了如何使用这些工具进行Web安全检测和渗透测试。
摘要由CSDN通过智能技术生成

Web安全攻防 渗透测试实战指南   学习笔记 (三)

有关本书的其他学习笔记请移步以下链接~

 

Web安全攻防 渗透测试实战指南   学习笔记 (一)

https://www.cnblogs.com/0yst3r-2046/p/10931927.html

Web安全攻防 渗透测试实战指南   学习笔记 (二)
https://www.cnblogs.com/0yst3r-2046/p/11012714.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (三)
https://www.cnblogs.com/0yst3r-2046/p/11012808.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (四)
https://www.cnblogs.com/0yst3r-2046/p/11020428.html
 
Web安全攻防 渗透测试实战指南   学习笔记 (五)
https://www.cnblogs.com/0yst3r-2046/p/11563606.html
 

  • burp suite详解

                                                是一款集成化渗透测试工具(java编写,因此运行时依赖JRE,需要安装Java环境才可以运行)

 

安装JDK过程网上教程很多,可以根据自己需要的版本和操作系统来安装。

若在cmd中输入java -version  回车后返回版本信息则说明已经正确安装。

配置环境变量(参考网上教程)

若在cmd中输入javac  回车后返回帮助信息,则说明正确配置了环境变量。

 

下载好的burp不需要安装,直接双击burploader.jar即可。

 

 

burpsuite是以拦截代理的方式,拦截所有通过代理的网络流量(例如:客户端的请求数据、服务器端的返回信息)。

主要拦截http和https协议的流量

以中间人方式对客户端的请求数据、服务端的返回信息做各种处理。

 

基本配置以及Burpsuite常用模块例如proxy、spider 、decoder已经在此篇文章解释清楚

https://www.cnblogs.com/0yst3r-2046/p/10998657.html

 

下面讲解burpsuite的其他重要模块~

 

 

进阶

 

1>scanner

 

scanner主要用于自动检测web系统的各种漏洞

 

 

最低0.47元/天 解锁文章
0yst3r
关注
专栏目录
Web安全攻防——渗透测试实战指南
2401_83699724的博客
03-26 1731
全章节一共7章,看完对你收获满满!
Web安全攻防:渗透测试实战指南
qq_67685234的博客
03-10 8715
第一章 渗透测试之信息收集 1.1 收集域名信息 ①得知目标域名 ②获取域名注册信息(域名DNS服务器信息和注册人联系信息) 1.1.1 Whois查询 标准互联网协议,收集网络注册信息,注册域名,IP地址等 Kali下的Whois查询 常用网站:爱站工具网(https://whois.aizhan.com) 站长之家(http://whois.chinaz.com) ...
渗透测试实战—云渗透(AK/SK泄露)
最新发布
haosha。的博客
08-02 1880
渗透测试实战思路分享:getshell方法及横向移动方法,云安全(AK/SK泄露)
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南
liuhyusb的博客
03-09 1153
1. Nmap的基本Nmap + ip 6+ ipNmap -A 开启操作系统识别和版本识别功能– T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现-v 显示信息的级别,-vv显示更详细的信息192.168.1.1/24 扫描C段 192.168.11 -254 =上nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) 位置 : nmap安装目录/scripts/ 例如/usr/share/nmap/scripts脚本类型:ll /usr/sh
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 8023
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
Web安全攻防渗透测试实战指南学习笔记
K1ose的博客
06-17 3853
学习笔记第一章 渗透测试之信息收集第二章第章 第一章 渗透测试之信息收集 知己知彼,百战不殆 ——《孙子兵法》信息收集: 1. 服务器的配置信息 1. 网站敏感信息 具体细节: 1. 收集域名信息:域名->域名注册信息:DNS服务器信息、注册人信息 方法: 1)Whois查询 i. Whois是一个标准的互联网协议,可用于收集网络注册信息,注册的域名,
web安全攻防渗透测试实战指南
weixin_67846882的博客
04-07 5003
1.Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclude 19...
Web安全攻防渗透测试实战指南笔记(一)
x1t02m的博客
09-02 1万+
前言 这个系列是拜读《Web安全攻防渗透测试实战指南》之后的一些笔记和实践记录,感谢作者对我学习过程的帮助,这本书值得大家入手学习。 信息收集 1.获取真实IP 2.域名信息 1.Whois查询 Kali自带了Whois,但是查国内域名比较鸡肋,站长之家更靠谱些 2.备案信息查询 ICP备案信息查询 天眼查(更详细) 3.子域名信息 Layer子域名挖掘...
Web安全攻防渗透测试实战指南》之 第一章 渗透测试之信息收集
Cai1010110的博客
05-16 1775
这是第一章的学习笔记,如果需要该书的PDF,可以留言,在这里就不留下书籍了。小白自学学习中。。。。。
内网安全攻防渗透测试实战指南.pptx
07-01
内网安全攻防渗透测试实战指南
一次渗透测试实战
热门推荐
m0_46467017的博客
04-23 2万+
一次渗透测试实战前言信息收集漏洞验证漏洞攻击Grafana任意文件读取漏洞(CVE-2021-43798)一、漏洞描述二、漏洞影响范围Payload:ActiveMQ 任意文件上传漏洞(CVE-2016-3088)一、漏洞描述二、漏洞影响范围、漏洞利用:写入webshell权限提升CVE-2021-4034 Linux polkit 提权漏洞一、漏洞描述二、影响版本、漏洞利用总结 前言 学习了一两个月的安全,为了对自己的一个学习水平做一个总结,所以我特地找来一个网站来进行一次渗透实战。 信息收集 这次的
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6265
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
Web安全攻防_渗透测试实战指南
wangluoanquan111的博客
09-24 398
第1章 渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学。
Web安全攻防 渗透测试实战指南学习笔记(4) - BurpSuite
白帽子续命指南
04-24 717
如有侵权,请联系删除 Proxy 代理 就是拦截,抓包,修改,再放行 Spider 爬虫 有助于我们了解网站的目录结构,内容在Target中显示 我们爬取一下我最爱的B站 可以看到左侧有目录树,随便点开一个可以看到响应和请求,以及对应的报文 但是这个和那个history有什么区别我还真不知道 Decoder 解码 编码解码及散列的转换工具 一共有个选项,Decoder(解码)、Encoder(...
内网安全攻防:渗透测试实战指南 pdf下载
07-29
对于内网安全攻防渗透测试实战指南的PDF下载,首先需要明确渗透测试的目的是为了评估和测试内网的安全性,找出可能存在的漏洞和风险,并提供相应的防御建议和措施。 在下载PDF之前,我们应该明确以下几个问题: 1. 有合法的授权和使用权限吗? 渗透测试是一项敏感且潜在危险的活动,需要事先与相关当事人保持沟通和达成共识,以确保测试合法、合规和有授权。因此,在下载之前,我们要确保自己拥有相应的合法权限。 2. 评估所需工具和技能 渗透测试需要一定的技术和工具支持。在下载之前,我们需要评估自己是否具备进行渗透测试所需要的技能和经验,并确认自己是否具备所需的工具和环境。 3. 错误使用导致的后果 渗透测试是一项高风险活动,如果错误使用或者测试方法不当,可能导致严重的后果,如业务中断、数据泄露等。因此,在下载之前,我们需要认识到这一点,并确保自己具备相应的安全意识和责任心。 总之,下载内网安全攻防渗透测试实战指南的PDF之前,我们要确保自己拥有合法授权和权限,具备相应的技能和工具,以及清楚认识到错误使用可能导致的后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值