BurpSuite-Proxy使用

已于 2022-10-09 17:42:33 修改
阅读量2.2k 收藏 2
点赞数 2
分类专栏: 安全测试 BurpSuite工具使用 文章标签: 服务器 前端 安全性测试
于 2022-10-09 17:36:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elmoyan/article/details/127224990
版权
本文详细介绍了BurpSuite的Proxy模块功能,包括Intercept、HTTPhistory等组成部分及其使用方法,并提供了配置教程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BurpSuite的Proxy模块主要用于拦截浏览器的HTTP会话内容,给其他模块功能提供数据。
Proxy模块由4个部分组成,分别是Intercept、HTTP history、Websockets history、Options。
在这里插入图片描述

1、Intercept

Intercept顾名思义,就是截断请求的意思。

Intercept选项卡由Forward、Drop、Interception is on/off、Action、Comment、Highlight构成。接下来将对他们的功能分别进行介绍。

  • Forward:当你查看过拦截的消息,或者对拦截的消息重新编辑过后,点击此按钮,会将处理过的消息发送至服务器。
    在这里插入图片描述

  • Drop:将拦截的消息丢弃,不再发往服务器。

  • Interception is on/off
    is on 表示打开拦截功能,此时打开浏览器访问URL并回车,将会看到数据流量经过Burp Proxy并被暂停,FowardDrop就是搭配拦截功能打开时使用的。

    is off 表示关闭拦截功能,此时BurpSuite可以视为正常的代理服务器。
    在这里插入图片描述
    在这里插入图片描述

  • Action:除了将当前请求的消息传递到Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer组件外,还可以做一些请求消息的修改,如改变GET或者POST请求方式、改变请求body的编码,同时也可以改变请求消息的拦截设置,如不再拦截此主机的消息、不再拦截此IP地址的消息、不再拦截此种文件类型的消息、不再拦截此目录的消息,也可以指定针对此消息拦截它的服务器端返回消息。
    在这里插入图片描述

  • CommentHighlight:搭配使用,针对拦截的消息添加备注、设置高亮,以便于进行消息区分。
    在这里插入图片描述

2、HTTP history

用于查看历史数据包。点击某条数据包,还可查看请求及返回的消息详情;点击右键还可将数据包发送到其他模块,也就是InterceptAction的功能
在这里插入图片描述

点击过滤器可以设置过滤选项
在这里插入图片描述

3、Websockets history

和HTTP history类似,实际很少会用到,这里不再赘述。

4、Options

主要用于配置Proxy,包含8大项配置,以下将针对常用的5项进行逐项介绍。

Proxy Listeners-代理监听器

配置代理服务器的,在【BurpSuite 代理和浏览器设置】这篇文章里有介绍到怎么配置使用,这里不再赘述。

Intercept Client Requests-客户端请求消息拦截

用于配置哪些请求数据包需要拦截,支持多条规则同时匹配。勾选Intercept requests based on the following rules后,则表示符合列表里勾选的规则的请求都将被拦截。
在这里插入图片描述

点击添加规则:

  • Boolean opertor:表示当前规则与其他规则是的方式还是的方式;
  • Match type:选择匹配类型,支持基于域名、IP地址、协议、请求方法、URL、文件类型、参数, cookies, 头部或者内容, 状态码, MIME类型, HTML页面的title等;
  • Match relationship:表示此条规则是匹配还是不匹配Match condition输入的关键字;

配置完后点击OK则规则被保存。
在这里插入图片描述

Automatically fix missing被勾选中,则表示在一次消息传输中,BurpSuite会自动修复丢失或多余的新行。比如说,一条被修改过的请求消息,如果丢失了头部结束的空行,BurpSuite会自动添加上;如果一次请求的消息体中,URl编码参数中包含任何新的换行,BurpSuite将会移除。此项功能在手工修改请求消息时,为了防止错误,有很好的保护效果。

Automatically update Content-Length被勾选中,则当请求的消息被修改后,Content-Length消息头部也会自动被修改,替换为与之相对应的值。在部分情况下需要关闭该功能(比如想DOS)。

Intercept Server Responses-服务器返回消息拦截

默认是不启用的,需要手动启用。配置跟请求拦截类似,不再赘述。
在这里插入图片描述

Responses Modification-服务器返回消息修改

在这里插入图片描述
对应功能:

  • 显示form表单中隐藏字段
    • 高亮显示form表单中隐藏字段
  • 使form表单中的disable字段生效,变成可输入域
  • 移除输入域长度限制
  • 移动JavaScript验证
  • 移动所有的JavaScript
  • 移除标签
  • 转换https超链接为http链接
  • 移除所有cookie中的安全标志

勾选后,针对服务器返回消息进行勾选项设置,以便于在安全测试过程中突破原有的数据限制。

Match and Replace-匹配和替换

此项配置主要用来自动替换请求消息和服务器端返回消息中的某些值和文本,它与前文的规则的不同之处还在于支持正则表达式在这里插入图片描述
在这里插入图片描述

18-3 burpsuite模块介绍之proxy(代理)
weixin_43263566的博客
12-26 1228
点击浏览器右上角扩展程序图标,然后选择 Proxy Switchyomega 插件按钮,选择对应的情景模式(刚才创建的),在该页面输入要访问的URL后,此时的请求流量即会通过BurpSuite。点击浏览器右上角扩展程序图标,然后选择 Proxy Switchyomega 插件按钮,选择对应的情景模式(刚才创建的),在该页面输入要访问的URL后,此时的请求流量即会通过BurpSuite。缓存和内容过滤:代理服务器可以缓存已请求的数据,当再次请求相同的数据时,可以直接返回缓存的内容,提高访问速度。
BurpSuite----Proxy模块(代理模块)
Dasdwer的博客
05-19 974
您可以使用此选项,在与SSL相关的响应修改选项结合,开展sslstrip般的攻击使用Burp,其中,强制执行HTTPS的应用程序可以降级为普通的HTTP的受害用户的流量在不知不觉中通过BurpProxy代理。这个选项是来显示所有请求产生的细节,显示的有目标服务器和端口,HTTP 方法,URL,以及请求中是否包含参数或被人工修改,HTTP 的响应状态码,响应字节大小,响应的 MIME类型,请求资源的文件类型,HTML 页面的标题,是否使用 SSL,远程 IP 地址,服务器设置的 cookies,请求的时间。
BurpSuite抓包与浏览器设置代理
u010804417的博客
01-04 2868
BurpSuite抓包抓包流程第一步配置代理原理具体步骤第二步下载CA证书第三步将下载好的CA证书导入浏览器第四步抓取HTTPS数据包 补入此视频。 抓包流程 使用BurpSuite抓包整体流程共分为四步,如下图所示。 第一步配置代理 原理 通过配置代理来保证浏览器发出的请求都经过BurpSuite,再经由BurpSuite处理转发给(该请求原本要发送给的)服务器,如下图所示。 具体步骤 给浏览器设置代理。可以从不同内核(而非不同品牌)的浏览器中选择一款或几款给BurSuite拦截使用,其他内核的浏
Burp Suite 代理配置全流程指南
最新发布
不羁的博客
03-21 1783
通过本指南,用户可系统掌握 Burp 代理配置全流程,实现 Web 应用安全测试的高效开展。实际操作中建议结合官方文档与具体场景灵活运用。
BurpSuite工具-Proxy代理用法(抓包、改包、放包)
星海幻影的博客
12-04 2635
Burp Suite 不仅为渗透测试提供了强大的抓包和调试功能,还通过内置浏览器和灵活的筛选机制,使得测试过程更加高效与精准。而对于实时通信和 WebSocket 的支持,更是拓展了其应用场景,适用于现代 Web 应用的复杂性和实时性需求。
BurpSuite Proxy简单使用
F2444790591的博客
01-13 4286
一、HTTP报文抓取与修改 1、打开Kali中的BurpSuite。 ​​​​​​​​​​​​​​​​​​​​​ 2、设置Burpsuite代理服务端口 注意:Tomcat在本机的默认端口是8080,BurpSuite proxy在本机的默认监听端口也是80...
BurpSuite--Proxy详解
ve9etable的博客
07-16 2519
BurpSuite--Proxy 目录 代理设置 浏览器代理设置 FoxyProxy插件使用 Burp Proxy基本使用方法 Intercept HTTP history WebSockets history 案例:使用Proxy截包改包 代理设置 Burp Suite用代理模式拦截通过代理的网络流量,主要拦截HTTP和HTTPS的流量,拦截时,Burp Suite以中间人方式对客户端请求数据、服务端返回做各种处理,以达到安全评估测试的目的。所以我们就需要对Web浏览器进行代理设置
Burp Suite使用介绍——Proxy功能(二)
12-29 5193
Proxy功能 Target功能 目标工具包含了SiteMap,用你的目标应用程序的详细信息。它可以让你定义哪些对象在范围上为你目前的工作,也可以让你手动测试漏洞的过程。 UsingBurp Target 在地址栏输入www.baidu.com,如图 这样看起来site map是不是很乱,则可以右击add to scope,然后点击Filter勾选Show only in
burpsuite-实战指南-带目录可编辑.pdf
06-02
BurpSuite全局参数设置和使用 Burp Suite的全局参数设置允许用户调整工具的性能和行为。通过配置这些设置,用户可以优化扫描器的扫描速度,调整代理的拦截策略等。 #### 3. Burp Suite应用商店插件的使用 Burp ...
BurpSuite----decoder模块(解码器)
11-23
一种方法是在Burp Suite的Proxy、Scanner、Repeater或者其他组件中,选中需要解码的数据,然后通过右键菜单选择"send to Decoder"。另一种方法是直接在Decoder的界面中输入数据,选择相应的数据格式进行解码或编码。...
burpsuite-pro-v2024.9.3.jar
11-14
在实际使用中,burpsuite-pro-v2024.9.3.jar文件将作为Java运行环境的一个可执行程序,用户需要在安装有Java的系统上运行它。该文件通常包含多个模块,例如扫描器(用于自动发现安全问题)、Intruder(用于自定义...
2、Burp Suite之 proxy 功能的详细介绍与基本使用
12-23
该视频详细的介绍了如何使用proxy,视频教学简单明了。
BurpSuite----基本介绍及环境配置
11-23
如果需要使用不同端口,可以在Burp Suite的设置中进行修改。 总之,Burp Suite提供了一整套工具,使得安全专家能够全面、深入地测试Web应用程序的安全性,从自动化扫描到手动分析,再到利用和验证潜在漏洞。正确...
BurpSuiteproxy
qq_37394476的博客
08-09 604
burp suite中的proxy讲解工作原理:浏览器----》端口80(自定义)----服务器浏览器----》代理----》访问到服务器举个例子:浏览器喜欢服务器,让代理送信给服务器,中间代理可以帮浏览器去送信服务器,那就是通过这个请求;如果代理也喜欢服务器,中间直接把信给拦截,代理不让服务器知道浏览器喜欢她,然后代理心里过不去,就给这个信丢弃了;当代理付出行动,以什...
BurpSuite使用详解(一)Proxy功能
weixin_38115199的博客
02-27 1万+
BurpSuite proxy功能Proxy代理功能打开监听端口浏览器代理设置ChromeFirefox代理功能详解intercepthistoryOptions Proxy代理功能 Proxy代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。 打开监听端口 在使用proxy模块之前,先打开proxy端口的监听 在proxy模块中点击Options,编辑proxy监听端口 浏...
Burpsuite核心——Proxy模块的使用
hackzkaq的博客
12-28 2601
> `搜索公众号:白帽子左一,每天更新技术干货! 之前已经对burp的使用做过分享了"渗透测试神器|一文带你精通Burp(附下载)"(同样,喜欢看视频的也可文末扫码看视频教程演示.) 那篇比较全,但是有的板块并没有说的很细致,毕竟学习马虎不得,所以今天这篇文章是主要对burp的Proxy模块作出详细的说明使用! 从Proxy模块开始是因为这个模块可以说是burpsuite的核心,多数的功能都是基于在这个模块的基础上去使用使用前的两个准备 1.打开Burpsuite 2.配置好浏览器代理,并且安装
Burp Suite之proxy代理
Eric_Yc的博客
08-22 857
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 ***本文主要对Burp Suite中的proxy进行简单讲解,初学者适用,其他功能的讲解会在其他文章中逐个讲解。 ***Proxy代理模块作为BurpSuite的...
BurpSuite代理设置
mxzjzty的博客
12-11 1492
如果浏览器访问https有不安全提醒,需要安装BurpSuit 导出的证书。5、修改配置,代理服务器选择本地,端口设置成与BurpS一致的。2、点击编辑代理监听器,默认本台电脑使用8080端口。7、从系统代理切换到proxy代理,再次访问目标网站。4、搜索proxy,点击“获取”然后“添加扩展”6、点击“应用选项”就可以保存成功。返回桌面,就能看到我们下载的证书,双击安装。安装到受信任的颁发机构,点击下一步安装。点击代理设置,导入/导出CAD证书。3、点开浏览器的设置“扩展”选择第一个,选择导出的位置。
BurpSuite-代理和浏览器设置
热门推荐
elmoyan的博客
09-15 1万+
BurpSuite代理和浏览器设置
burpsuiteProxy使用教程
07-29
BurpSuiteProxy模块主要用于拦截浏览器的HTTP会话内容,并为其他模块提供数据。Proxy模块由4个部分组成,分别是Intercept、HTTP history、Websockets history和Options。\[1\] 要使用BurpSuiteProxy模块,首先需要开启拦截功能。具体方法是在BurpSuite的选项卡中选择Proxy->Intercept,并设置Intercept is on。然后,重新启动浏览器并访问目标网站,BurpSuite将会拦截到HTTP请求报文。\[2\] 如果需要抓取HTTPS请求报文,同样需要开启拦截功能。然后,重新启动浏览器并访问目标网站的HTTPS页面,BurpSuite将会抓取到HTTPS请求报文。\[2\] 如果只需要抓取HTTP请求报文,可以先关闭BurpSuite的拦截功能。具体方法是在BurpSuite的选项卡中选择Proxy->Intercept,并设置Intercept is off。然后,使用浏览器访问目标网站,BurpSuite将会抓取到HTTP请求报文。\[3\] 以上是关于BurpSuiteProxy模块的简要使用教程。希望对您有帮助! #### 引用[.reference_title] - *1* [BurpSuite-Proxy使用](https://blog.csdn.net/elmoyan/article/details/127224990)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [BurpSuite Proxy简单使用](https://blog.csdn.net/F2444790591/article/details/122481065)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值