一、Burpsuite是什么?
Burp Suite 是用于攻击 web 应用程序的集成平台,它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程,所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
Burp Suite 能高效率地与单个工具一起工作,例:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。
在一个工具处理 HTTP 请求和响应时,它可以选择调用其他任意的 Burp 工具。例:代理记录的请求可被 Intruder 用来构造一个自定义的自动攻击的准则,也可被 Repeater 用来手动攻击。
Burp Proxy 把所有通过它的请求和响应解析为连接和形式,同时站点地图也相应地更新。由于完全的控制了每一个请求,你就可以以一种非入侵的方式来探测敏感的应用程序。当你浏览网页(这取决于定义的目标范围)时,通过自动扫描经过代理的请求就能发现安全漏洞。
二、Burpsuite工具集:
Dashbord里面的New scan——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能,同时也是是一个高级的漏洞检测工具,执行后,它能自动地发现 web 应用程序的安全漏洞。
Target——目标工具包含站点地图,以及有关目标应用程序的详细信息。它允许您定义当前工作范围内的目标,还允许您驱动漏洞测试过程
Proxy——是一个拦截 HTTP /S 的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,