安全测试学习(二)安全测试工具之BurpSuite

最新推荐文章于 2024-05-17 12:57:57 发布
最新推荐文章于 2024-05-17 12:57:57 发布
阅读量949 收藏 3
点赞数
分类专栏: 测试之路 文章标签: 软件测试 安全测试 burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxl1994/article/details/102595034
版权

一、下载并安装

前提条件:需要安装jdk
BurpSuite的安装可参考网上的教程完成

安装完成后根据提示打开 BurpSuite,打开过程中出现弹框点击 ok在这里插入图片描述在这里插入图片描述

打开后如图所示
在这里插入图片描述

二、设置代理

要让 BurpSuite能成功拦截浏览器请求,需要先设置浏览器和 BurpSuite 的代理一致。以搜狗浏览器为例
在这里插入图片描述在这里插入图片描述
浏览器设置完成后再设置 BurpSuite
在这里插入图片描述

三、开始使用

代理设置完成后,打开搜狗浏览器,输入地址并回车,可以看到请求被拦截,请求的内容在 Proxy 标签页中。如图
在这里插入图片描述

标签页中的四个操作按钮作用为

Foward:释放请求

Drop:丢弃请求

Intercept is on/off:on表示开启拦截,off表示关闭拦截

Action:对拦截的请求进行其它操作

四、常用的 Action 操作

1.暴力破解

拦截请求后点击 Action -> Send to Intruder
在这里插入图片描述

切换到Intruder标签

在positions中设置要进行暴力破解的参数
在这里插入图片描述

Payloads 中设置用于暴力破解的数据字典

常用的几种字典

1)默认的Simple list

复制excel
在这里插入图片描述

点击Paste
在这里插入图片描述

或者自己手动添加数据
在这里插入图片描述

2)Character blocks
在这里插入图片描述

注意:暴力破解要谨慎作用于删除操作,因为会发送真实的请求

2.重复执行某个请求

拦截请求后点击 Action -> Send to Repeater
在这里插入图片描述

切换到Repeater标签
在这里插入图片描述

左边是请求Request,右边是响应Response

每点击一次Go,请求就发送一次,这个功能可以实时修改请求并查看响应,但是请求实际并没有被释放(页面没有变化)

以上就是我对 BurpSuite 的基本使用情况,后续如果有使用到其它功能,将在这里继续补充。

扫码关注微信公众号
在这里插入图片描述

你不知道的我-
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全测试学习BurpSuite工具的使用
weixin_42484187的博客
01-22 1480
安全测试学习BurpSuite工具的使用 一、工具运行环境: BurpSuite 是一个集成化的渗透测试工具,具有很多的渗透测试组件。可以实现拦截请求,抓包等类似fiddler和postman但比其更强大的功能。Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。但Burp Suite是用Java语言开发的,运行时依赖于JRE,需要提前Java可运行环境。 工具下载包可在网...
安全测试工具之-fortify(二)
ShanDong_Chu
03-04 1357
目录 1、简介 2、自定义规则原理 3、自定义规则 4、运行自定义规则 1、简介 Fortify是Micro Focus旗下AST (应用程序安全测试)产品[1],其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RA...
安装burnsuite
weixin_47346400的博客
09-23 406
哈哈哈,待续…
BurpSuite使用大全(详解)
一个懒鬼的博客
05-09 3万+
BurpSuite使用大全(详解)_Alphabets26的博客-CSDN博客_burpsuite
安全测试必学神器 --BurpSuite 安装及使用实操
最新发布
朱雀随云记的博客
05-17 1799
点击查看其返回结果,查看Render页面回显,提示"Welcom ....",说明password为正确密码,登录成功。再去支付界面点击“立即购买”。3、再去操作登录,输入admin、密码先随意输入一个,点击Login,就可以看到拦截的登录信息。一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
burpsuite入门,实用教程
热门推荐
Pz_mstr's Blog
08-04 9万+
渗透测试综合工具——burpsuite 基本使用详细教程
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
yy1715713348的博客
12-23 3163
​ 一、简介 Burpsuite 是用于攻击 web 应用程序的集成平台。它包含了许多 Burp 工具,这些不同的 Burp 工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示 HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描 web 应用程序漏洞,以暴力破解登陆表单,执
Burp Suite的基本介绍及使用
xjz1314的博客
07-06 9574
proxy:代理,默认地址是127.0.0.1,端口是8080 target:站点目标,地图 spider:爬虫 scanner:漏洞扫描 repeater:http请求消息与响应消息修改重放 intruder:暴力破解 sequencer:随机数分析 decoder:各种编码格式和散列转换 comparer:可视化差异对比功能...
burpsuite安全测试工具
04-05
Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。 通过拦截HTTP/HTTPS的...
BurpSuite v2.1 开源安全测试工具
08-06
**BurpSuite v2.1 开源安全测试工具详解** BurpSuite是一款广泛使用的网络应用程序安全测试工具,尤其在渗透测试领域中具有极高的声誉。它由PortSwigger公司开发,提供了一整套功能强大的工具,帮助安全专业人员...
BurpSuite安全测试工具
06-23
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、...
Burp-Suite-安全测试操作手册
03-15
Burp Suite能高效率地与单个工具一起工作,例如: 一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。 在一个工具处理 HTTP请求和响应时,它可以选择调用其他任意的 Burp...
安全测试工具Burp Suite professinonal的使用方法.docx
11-13
详细介绍了burp suite professionalg工具的使用教程,通过总结网络上其他的说明汇总。
Burp Suite安装配置详解(附Java 环境安装)
小码农的博客
04-26 5万+
Burp Suite安装配置详解1.Java 安装与环境配置详解1.0 下载Java SDK 1.8 最新版2.0 配置Java 环境变量功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,...
【网络安全】渗透测试工具——Burp Suite
九芒星的博客
07-13 1万+
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
SSRF漏洞学习
Wawyw's Blog
04-01 855
1、SSRF概念 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 2、SSRF的原理 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地址做过滤和限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片,下
安全测试工具BurpSuite
好多可乐的博客
10-22 3223
BurpSuite主要就是通过抓包抓到网站的基本内容,然后对网站进行深入爬取,了解更多待测试的对象,再使用scanner对所有资源进行扫描,检测等。
burpsuit简单应用(抓包,回包,密码爆破及其四种模式)
qfslyy的博客
12-23 7736
1准备: 网页设置代理为本地,可以自行选项配,推荐插件foxy, : 2抓包: 进入要抓包的网页后,代理设置完成,打开burpsuit 在proxy下选择intercept ,开启监听。: 接下来在网页进行的操作都会被截下。 抓包内容: 2:回包: 对抓到的包右键点击: 发送repeater后: 点击go,即可获得回包。 3:密码爆破: 对抓到的登录界面的包进行右键点击发送到intruder: 设置攻击目标IP,端口,本地默认即可: 在Postion界面设置爆破点: 首先clear,清掉
测试框架|Burp Suite几个基本工具的使用
人生不怕起点低,就怕没追求
09-12 574
前阵子项目上想通过测试工具在网页上模拟返回错误代码 500 来查看页面的错误处理,然后去调查了下 burp suite,看了些基本工具的使用文档。虽然最后证实 burp suite 只能用来处理页面测试应用程序的实际行为和响应,而不是尝试模拟不存在的问题或错误,但还是有所收获,也想和大家分享一下这几个 burp suite 社区版提供的基本工具。
Burp Suite 安全测试工具中文指南
Burp Suite 是一款功能强大的网络安全工具,主要用于Web应用程序的安全测试。它集成了多种模块,包括代理、扫描器、入侵者、爬虫、比较器等,使得安全专家能够进行全面的渗透测试和漏洞检测。 在开始使用Burp Suite...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值