BurpSuite安全测试实战

最新推荐文章于 2024-05-28 10:04:01 发布
最新推荐文章于 2024-05-28 10:04:01 发布
阅读量2k 收藏 11
点赞数 2
分类专栏: 计算机 文章标签: BurpSuite 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackkang01/article/details/100033960
版权

目录

安装配置

代理配置

SSL证书(https)

测试实战

BurpSuite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报

安装配置

Step 1

下载BurpSuite1.7.36(提取码:24x3)并解压

Step 2

打开burp-loader-keygen.jar,点击run

Step 3

激活时,复制license里面的内容,把该license的内容,复制到Enter license key,如下图,点击【next】

点击【next】 , 在窗口【Activate License】点击【Manual  activation 】

在窗口【Manual  activation 】,复制【copy request】的内容

 

返回到激活的窗口,把【copy request】的内容复制到【Activation Request】, 这时【Activation Response】自动产生激活码,如下图所示

复制粘贴【Activation Response】里面的激活码到【Manual  activation 】中的【Paste Response 】

 

Step 4

重新打开BurpSuite,点击next,启动BurpSuite

代理配置

法1

Step 1

谷歌浏览器进入设置>高级>打开您计算机的代理设置

Step 2

打开手动设置代理,设置地址和端口,点击保存

法2

Step 1

下载Proxy SwitchyOmega

Step 2

将下载好的SwitchyOmega文件扩展名改为zip并解压

Step 3

谷歌浏览器打开chrome://extensions,打开开发者模式,点击“加载已解压的扩展程序”

SSL证书(https)

Step 1

进入http://burp(或http://127.0.0.1:8080(代理所配端口)),点击右上角下载证书

Step 2

谷歌浏览器进入设置>高级>管理证书

Step 3

点击受信任的根证书颁发机构>导入

Step 4

选择导入文件,导入即可

测试实战

百度篇

Step 1

打开代理,百度搜索框输入待搜索内容

Step 2

点击Intercept is off,点击百度一下

Step 3

BurpSuite显示拦截内容,点击Params,修改参数,例如将jackkang01修改为zhoujielun,点击Forward,查看浏览器显示

CSDN篇

 

 

 

jackkang01
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用burp suite或fiddler进行越权测试的步骤
shengnan_only的博客
03-26 2万+
一、什么是越权漏洞?它是如何产生的? 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。 二、越权漏洞的分类? 主要分为水平越权和垂直越权,根据我们的业务通俗的表达一...
怎样进行越权测试
yxx1990的博客
04-17 5341
要了解越权测试,首先要先了解什么是越权攻击。 越权攻击顾名思义就是超越了自己的权限范围,是指用户通过某种方式获取到了不属于自己的权限。越权攻击分为水平越权和垂直越权。 下面我们先来说一下水平越权 水平越权:攻击者尝试访问与他权限相同的用户资源。比如说在修改用户信息时,在浏览器上用户可以看到该用户的ID是多少,如下图 这里如果攻击者通过猜测或者其他途径获取到了其他用户的ID是多少,那么就可以在浏览器的地址栏里将ID直接换成要攻击的用户ID,就可以访问被攻击用户的用户信息并对其进行修改。 再举一个例子.
使用2023版BurpSuite手工进行水平越权测试【图文教程】
Welcome KrityCat Honey
02-24 1055
本人在使用时BurpSuite v2023.12时,查阅网上资料,发现网上大多是旧版,而旧版跟新版在界面上有些许调整。故记录BurpSuite v2023.12使用教程,用于后续本人回顾。
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
最新发布
cc123489ll的博客
05-28 966
Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。一般的渗透思路就是看是否有注入漏洞,然后注入得到后台管理员账号密码,登录后台,上传小马,再通过小马上传大马,提权,内网转发,进行内网渗透,扫描内网c段存活主机及开放端口,看其主机有无可利用漏洞(nessus)端口(nmap)对应服务及可能存在的漏洞,对其利用(msf)拿下内网,留下后门,清理痕迹。Upload,即文件上传漏洞,指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
Burpsuite1.7使用指南&渗透测试方法大全
司小幽
06-05 3680
测前准备工作 1)谷歌浏览器:设置——>高级——>打开代理设置——>局域网设置——>使用代理服务器——>确定——>确定 2)BurpSuite:Intercept is on(开始监听)——>监听到内容——>Ctrl+R(或者右键Send to Repeter)——>Repeater——>进行篡改+测试(不想监听了或者想开始下一次监听,则将Intercept is改成off,监听会影响网页的正常浏览请注意)——>Go 1.越
越权漏洞介绍和修复参考
煜铭2011
07-07 8596
0x00 背景 https://www.xx.com/service/order.do?orderid=2280582085200280582 上图,选择orderid作为参数, 越权遍历爬取其他人的信息,类似选择某个参数或者某个接口,通过拼接或者篡改数据的ID进行请求其他ID的内容,并且返回的数据存在敏感信息,简称为越权漏洞。 恶意攻击者可以利用漏洞攻击做到: 水平越权,可以访问同级用户的身份证、手机号码、纳税信息等 垂直越权,可以访问管理员的敏感信息等。 修复思路 1、针对具有不同权限.
BurpSuite 实战指南.pdf
03-24
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手 工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得 测试工作变得更加容易和方便,即使...
burpsuite 实战指南 高清
01-02
web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有...
burpsuite破解版和实战指南
06-27
我给这些文章取了IT行业图书比较通用的名称: 《BurpSuite实战指南》 ,您可以称我为中文编 写者,文章中的内容主要源于BurpSuite官方文档和多位国外安全大牛的经验总结,我只是在 他们的基础上,结合我的经验、理解...
BurpSuite 最全最详细实战.docx
01-04
BurpSuite 实战指南 BurpSuite 是一个功能强大且易于使用的集成化渗透测试工具,它提供了多种渗透测试组件,帮助用户自动化或手工地完成对 web 应用的渗透测试和攻击。在本书中,我们将详细介绍 BurpSuite 的安装和...
burpsuite实战指南
03-28
本文档讲述burpsuite实战中的应用,可以说全是干活。全书包括有burpsuite的基本使用、也有一些比较高级的使用技巧,值得拥有。
项目实战安全测试用例
04-01
安全测试分析的来源主要是需求、系统设计、安全工程师安全建议。 采用的测试策略:工具扫描,手工测试.安全测试用例设计可参考安全测试用例库.
Airachnid-Burp-Extension:一个Burp扩展,用于测试应用程序是否存在Web缓存欺骗攻击的漏洞
05-10
Web缓存欺骗Burp扩展 一个Burp扩展,用于测试应用程序是否存在Web缓存欺骗攻击的漏洞。 加载扩展后,可以在“目标-站点地图”选项卡中对其进行访问,然后右键单击应测试的资源。 将显示一个上下文相关的菜单项,称为“ Web缓存欺骗测试”,可用于进行测试。 如果资源易受攻击,则会创建一个详细说明该漏洞的问题。 上下文相关菜单项也可用于“代理-Http历史记录”选项卡中的请求。 安装 下载WebCacheDeceptionScanner.jar文件。 在Burp Suite中,打开“扩展器”选项卡。 在扩展选项卡中,单击添加按钮。 选择下载的jar文件->下一步。 检查安装是否没有错误消息。 脆弱性 2017年2月,安全研究员Omer Gil推出了一种新的攻击媒介,称为“ Web缓存欺骗”( )。 Web缓存欺骗攻击的后果可能是灾难性的,但是执行起来非常简单: 攻击者强迫
安全测试笔记及实战
喵酱
09-13 428
最近一直在研究安全测试,感觉自己还没有入门。不敢说是入门教程,本篇就是本人单纯的一个笔记而已。 (心虚,来个图镇楼) 简单说下一般的漏洞 Web应用漏洞: 1、SQL注入 2、XSS跨站脚本(存储+反射) 3、命令注入 业务逻辑漏洞:    1、支付漏洞 2、越权漏洞(垂直+水平)  1.SQL注入: 1.1SQL注入概述 SQL注入是这样一种漏洞:应用程序在向后台数据...
企业如何开展安全测试攻防实战
测试开发技术
04-26 358
在今天的数字化时代,企业已经离不开了信息化、网络化,而信息化和网络化带来的威胁也是实实在在存在的。安全涵盖的范围很广,常见的比如网络安全、数据安全、应用安全、主机安全、内网安全等等。为了保障企业信息安全,开展安全测试攻防是必不可少的。本文就将指导企业如何开展安全测试攻防实战,并介绍安全测试方法、工具、案例等内容。1、安全测试方法有哪些?1.1 渗透测试渗透测试也叫漏洞评估,是指通过模拟黑客攻击企业...
【网络安全】渗透测试工具——Burp Suite
热门推荐
九芒星的博客
07-13 1万+
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
测试开发必备技能:安全测试漏洞靶场实战
04-11 4164
安全在互联网行业,是一个对专业性较强,且敏感的一个领域,所谓"一念成佛,一念入魔",安全技术利用得当,可以为你的产品、网站更好的保驾护航,而如果心术不正,利用安全漏洞去做一些未法牟利,则容易造成承担不必要的违法责任。 在日常很容易被大家忽略的一点,在非授权的情况下,对网站进行渗透攻击测试,也是属于非合规操作,是触及法律法规的。因此对于大家在学习安全测试过程中,通常建议是直接在本地直接搭建安全演练靶场环境,尽量避免直接对非授权的网站进行测试。 掌握安全测试测试开发工程师进阶的一项硬技能,今天这篇文章,就
安全渗透测试实战分享
OKCRoss的博客
05-06 268
本文我们将以围绕系统安全质量提升为目标,讲述在功能安全测试&安全渗透测试上实践过程。
BurpSuite-安全测试神器
u012343977的博客
02-27 6267
Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程 主要功能:代理工具(Proxy), 爬虫(Spider),暴力破解(Intruder),漏洞扫描(Scanner付费),重放请求(Repeater),附属工具(decode comparer),扩展定制(Extender) 配置代理 使用谷歌插件直接代理 设置证书可以抓取https的请求 这里,直接输入【cacert.der】 然后选
全面揭秘:Burp Suite渗透测试实战教程
19. **第二十章**:安卓应用渗透测试,结合Burp和AndroidKiller进行移动安全测试。 《Burp Suite 实战指南》不仅涵盖了基本操作,还包含了许多实用技巧和深度内容,适合希望深入学习和提升Web安全技能的读者。作者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值