因部门打算搞安全测试,所以私下里去研究了些市面的安全测试工具,最终选定在BurpSuite这款,目前他有三种版本:社区版(免费版本)、专业版、企业版,虽然社区版免费但是他没有web漏洞扫描Burp Scanner,另外两个版本有,但是需要付费,贫困群众就只能研究研究如何安装专业版的去学习了。
- 前置
BurpSuite是基于Java开发的一款工具,所以运行时需要依赖于JRE,朋友们需要提前配置好Java环境,这个网上有很多教程,举例2个Mac电脑如何配置Java环境,win7下怎么配置Java环境,配置好之后检查,小伙伴都知道,怎么查验:Java --version
下载BurpSuite去官方下载:https://portswigger.net/burp/communitydownloadhttps://portswigger.net/burp/communitydownload选择专业版的,博主我下载的2021.7的专业版的版本(Mac),dmg的大小不超过200M,建议默认目路径安装;
我下载的包,百度网盘链接地址,提取码: mdqm
注册机下载:百度网盘链接地址,提取码: c5k7
注册机下载解压好后,将里面的文件:burp-keygen-scz.jar和burp-loader-x-Ai.jar放置到BurpSuite的安装目录下,见下图放置(不知道怎么找到BurpSuite目录路径的可操作应用程序-找到BurpSuite,右键选择显示包内容就打开了)
编辑vmoptions.txt文件(文件见上图最后一个),文末新增以下内容并保存:
-Dfile.encoding=utf-8
-noverify
-javaagent:burp-loader-x-Ai.jar
-Xmx2048m
打开2个终端,分别复制以下2命令,加载burp运行(运行时会提示你需要激活)/或者直接在启动台运行app:
/Applications/Burp\ Suite\ Professional.app/Contents/PlugIns/jre.bundle/Contents/Home/bin/java -Dfile.encoding=utf-8 -noverify -javaagent:/Applications/Burp\ Suite\ Professional.app/Contents/java/app/burp-loader-x-Ai.jar -Xmx2048m -jar /Applications/Burp\ Suite\ Professional.app/Contents/java/app/burpsuite_pro.jar
启动注册机burp-keygen-scz.jar (获取激活码):
/Applications/Burp\ Suite\ Professional.app/Contents/PlugIns/jre.bundle/Contents/Home/bin/java -jar /Applications/Burp\ Suite\ Professional.app/Contents/java/app/burp-keygen-scz.jar
分别打开的窗口见下图:
点击run,copy license字段内的内容,填充到下图的输入框内,并点击Burp中的next;
下一步点击manual activation按钮,进入Burp的manual activation窗口页面,在该页面copy request字段内的内容到注册机的Activation request字段输入框中,Activation response字段会自动生成一串码;
将Activation response字段生成的这段码复制到Burp的manual activation中的Paste response字段中,并点击next ;
就完成了,可去应用程序里重启BurpSuite的app;
关于学习,我目前在看的:BurpSuite中文教程 (英文没那么好的就看看中文了,更推荐的是官方手册学习,附带有视频的)
对于初学者建议学习Burp Repeater、Burp Intruder这两个,搞懂了再去研究其他的;