BurpSuite入门及详细使用教程(内附学习笔记)

最新推荐文章于 2025-03-09 16:14:42 发布
最新推荐文章于 2025-03-09 16:14:42 发布
阅读量1.2k 收藏 18
点赞数 32
分类专栏: 网络安全 计算机工具 程序员 文章标签: 学习 笔记 web安全 安全 运维 linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/logic1001/article/details/145124738
版权

Burp Suite是用于攻击web应用程序的集成平台,接下来通过本文给大家介绍Burpsuite入门及使用详细教程,感兴趣的朋友一起看看吧。(片尾有惊喜哦~)

1、简介

Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

2、标签

  1. Target(目标)——显示目标目录结构的的一个功能
  2. Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
  3. Spider(蜘蛛)——应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。
  4. Scanner(扫描器)——高级工具,执行后,它能自动地发现web 应用程序的安全漏洞。
  5. Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
  6. Repeater(中继器)——一个靠手动操作来触发单独的HTTP 请求,并分析应用程序响应的工具。
  7. Sequencer(会话)——用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
  8. Decoder(解码器)——进行手动执行或对应用程序数据者智能解码编码的工具。
  9. Comparer(对比)——通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。
  10. Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
  11. Options(设置)——对Burp Suite的一些设置。

3、操作

捕获HTTP数据包:

以firefox火狐浏览器为例:点击选项——高级——网络——设置——选择手动配置代理,HTTP代理输入:127.0.0.1端口:8080

打开burpsuite,点击proxy——Options勾选127.0.0.1:8080。在Intercept点击后显示Intercept on,启动。

在firefox浏览器输入访问的真实地址,列如在网址输入10.1.1.174/login.php,username输入test,password也输入test。

点击Login,页面卡住了,下面burpsuite闪框提示有新的数据传入,打开看抓包信息。

可修改里面的内容。

爬虫:

在Target可以看到网站的目录结构。

​可以选择只显示有回显的数据或网站,勾上下面红框框住的选项就可以了。如果只选择当前需要的一个网站,勾选Show only in-scope items。

右键点击选择Spider this host(爬虫到该主机),并点击YES。

可以看到加载进了下列展示的标签。

如果不填写任何表单,可在Spide——options,勾选如下设置。

在下面页面可以看到一共爬取了2万多比特。

​爬完之后可以看到爬取的目录。

扫描漏洞:

双击para,会选中有参数的记录。右键点击Actively scan selected items选项。

就会自动过滤重复的页面或数据,然后点next——点ok。

再Scanner——Scan queue就可以看到扫描的情况。

再Scanner下的Issue defintion可以定义扫什么样的漏洞。

导出数据包:

在User option选择导出的数据包导出。

最后附上花了大量时间整理的学习路线图,希望能对刚入门的小白有所帮助

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Burpsuite初步入门笔记
AlienEowynWan的博客
08-21 239
Burpsuite初步入门 1.JAVA环境的配置 1.下载:首先在搜索引擎搜索jdk,找到网站,下载,记住安装路径。(注:高版本的JAVA不能兼容低版本的burp) 2 .环境变量配置:右键点击我的电脑,选择属性,选择高级系统设置,点击环境变量选项,在打开的环境变量对话框后,单击下方系统变量下的新建按钮,然后输入JAVA_HOME,对应的变量值为jdk安装的目录,点击确定。然后新建变量名:cla...
Burp Suite使用教程入门
Wrop的博客
06-28 1988
本文介绍了Burpsuite工具的安装以及基本的使用流程
【转】Burp Suite详细使用教程-Intruder模块详解
weixin_30655569的博客
12-26 1074
转自:http://www.2cto.com/Article/201207/139493.html 0×00 题外话最近迷上了burp suite 这个安全工具,百度了关于这个工具的教程还卖900rmb。。。ohno。本来准备买滴,但是大牛太高傲了,所以没买了。所以就有了今天这个文章。感谢帮助我的几个朋友:Mickey、安天的Sunge。0×01 介绍安装要求:Java 的V1.5 + 安装( ...
Burp Suite入门使用详细教程
最新发布
qq_53058639的博客
03-09 1037
Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
信息安全专业全国院校排名(非常全面),收藏这一篇就够了
Python_0011的博客
05-02 1142
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。信息安全专业国家级一流本科专业大学。
工具 | Burpsuite简介及使用
qq_42646885的博客
07-10 1万+
1、简介 Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。 2、标签 Target(目标)——显示目标目录结构的的一个功能 Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用...
BurpSuite入门详细使用教程(内学习笔记)_burpsuit使用教程(1)
2401_84240189的博客
05-14 415
Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
Web安全攻防-----学习笔记(三)之Burp Suite
舞指如歌~的博客
09-08 722
3.2 Burp Suite 详解 3.2.2 Burp Suite入门 Burp Suite 代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据,服务器端的返回信息等。它主要拦截HTTP和HTTPS协议的流量,通过拦截,Burp Suite以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理,以达到安全测试的目的。 以火狐为例,设置代理信息: 点...
burpsuite字典_Python攻防之弱口令、自定义字典生成及网站防护
weixin_39961855的博客
11-21 1815
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python网络攻防基础知识、Python多线程、C段扫描和数据库编程,本文将分享Python攻防之自定义字典生成,调用Python的exrex库实现。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前...
BurpSuite使用教程.pdf
08-26
你也知道BurpSuite很牛? 你也不知道怎么使用? 你和你的小伙伴们都不知道? 好吧,不用感谢我
Burp Suite 使用手册
xiangxue666的博客
09-09 1789
Burp Suite 使用手册
CVE-2022-24288:Apache Airflow OS命令注入漏洞复现
热爱学习,喜欢折腾!
08-24 2245
在 Apache Airflow 2.2.4 之前的版本中,一些示例 DAG 没有正确清理用户提供的参数,使其容易受到来自 Web UI 的 OS 命令注入的影响。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。............
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一篇就够了
xiangxue666的博客
10-12 1万+
Burp Suite 使用手册(非常详细),零基础入门到精通,看这一篇就够了
Burpsuite的新手教程
m0_52027565的博客
10-11 9580
Burpsuite的新手教程 你好啊!今天给大家介绍一款安全攻防"神器"——Burpsuite。下面让我们一起学习如何下载安装与运用吧!! Burpsuite一、学前须知:一、设置代理二、学习使用模块1.Proxy(代理模块)和Intruder(入侵模块)和Decoder(破解模块)2.Spider(爬虫模块)和Sequencer(分析模块)3.Repeater(请求模块)和Comparer(对比模块)总结 一、学前须知: Burpsuite 是白帽子日常测试Web应用程序安全的集成化图形化的测试平台
【2024版】最新BurpSuit的使用教程(非常详细)零基础入门到精通,看一篇就够了!让你挖洞事半功倍!
热门推荐
Javachichi的博客
01-25 3万+
下载地址:https://github.com/c0ny1/chunked-coding-converterShiro被动检测地址:https://github.com/pmiaowu/BurpShiroPassiveScan**fastjson被动检测**地址: https://github.com/uknowsec/BurpSuite-Extender-fastjson。
谷歌邮箱注册源码
03-09
为了实现Google Gmail注册功能,通常不会直接提供完整的源代码示例来创建Gmail账户。这是因为用户账户管理涉及敏感操作,应由官方服务处理以确保安全性和合规性。 然而,在开发与Gmail交互的应用程序时,可以利用OAuth 2.0协议授权流程来进行身份验证和访问控制[^3]。这允许第三方应用请求特定权限范围内的数据访问而无需知晓用户的密码。 对于希望集成Google登录或与其他Google服务互动的应用开发者来说,建议按照官方指南设置项目并启用必要的API接口: - 创建新的Google应用程序需前往Google API Console页面[^1]。 ```python import os from google_auth_oauthlib.flow import InstalledAppFlow from googleapiclient.discovery import build SCOPES = ['https://www.googleapis.com/auth/gmail.readonly'] def main(): """Shows basic usage of the Gmail API. Lists the user's Gmail labels. """ creds = None flow = InstalledAppFlow.from_client_secrets_file( 'credentials.json', SCOPES) creds = flow.run_local_server(port=0) service = build('gmail', 'v1', credentials=creds) results = service.users().labels().list(userId='me').execute() labels = results.get('labels', []) if not labels: print('No labels found.') else: print('Labels:') for label in labels: print(label['name']) if __name__ == '__main__': main() ``` 此Python脚本展示了如何通过OAuth 2.0认证过程连接到Gmail API,并列出当前用户的标签列表作为简单演示。请注意,实际部署前还需要考虑更多细节配置以及错误处理机制等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值