BurpSuite 工具学习

最新推荐文章于 2024-05-21 08:00:00 发布
最新推荐文章于 2024-05-21 08:00:00 发布
阅读量1k 收藏 21
点赞数 18
分类专栏: 网络安全工具类 文章标签: 网络安全 测试工具 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48654636/article/details/134833407
版权

BurpSuite 工具


Burp Suite是一款广泛使用的网络安全测试工具,专门用于渗透测试和应用程序安全评估。它由PortSwigger开发,提供了一套功能丰富的工具集,用于发现应用程序的漏洞和弱点,并提供相应的修复建议。

1. 工具的下载路径

官网 BurpSuite 下载

百度网盘:
链接:https://pan.baidu.com/s/1AySBlp6KOYHU-Czlyj5NuQ?pwd=huty
密码:huty

进入下载页面选择社区版或者专业版以及操作系统后点击下载
请添加图片描述

2. 工具的安装流程

  1. 在安装 BurpSuite 前需要先安装一个 JDK1.8 版本(百度网盘下载解压后有 JDK1.8,安装即可)
  2. Burp 安装

  • 在解压根目录进入 cmd,执行
    java -jar burp-loader-keygen.jar

  • 就会弹出以下窗口,直接点击右边那个 run(如果点 run 没反应,可以回到文件列表,手动点击,运行薄荷.vbs) 在这里插入图片描述

  • 在弹出的小窗点击 I accept
    在这里插入图片描述

  • 将左侧框里的 key 复制粘贴到右侧框里
    在这里插入图片描述

  • 在弹出框中点击 Manual activation
    在这里插入图片描述

  • 按照步骤将代码复制到相应的框里,然后点击 next
    在这里插入图片描述- 安装成功结果
    在这里插入图片描述

3. 工具的详细使用

http 服务端接口测试 http 客户端和 http 服务端通信测试 Cookie 统计分析
http 服务器 web 安全扫描 web 页面爬取 web 常用编码和解码 字符串随机性简单分析文件差异对比分析

3.1 参数说明

  1. 打开 BP,我们选择默认临时文件就可以了,点击 next
    在这里插入图片描述

  2. 直接进入
    在这里插入图片描述

  3. 主窗口页面
    在这里插入图片描述

3.2 测试实验

  1. 打开软件后,调试软件和浏览器的代理,让 BURP 能够正常工作抓包
    在这里插入图片描述

  • 设置代理服务器,设置好后,我们利用浏览器随便浏览一个网站,发现已经被我们的 Burp 截取数据包了
    ⚠️(注意一点,如果手动配置了代理,但是没有打开 Burp,那么浏览器将访问不了其他网站哦!所以建议在使用 BP 的时候配置代理,如果不使用 BP 就不设置代理)

    • edge 浏览器代理设置

在这里插入图片描述

在这里插入图片描述

  • firefox 浏览器设置代理
    在这里插入图片描述
    在这里插入图片描述
    在弹出框中设置代理的 ip 和端口,与 bp 一样
    在这里插入图片描述
    在这里插入图片描述

配置 Firefox 火狐浏览器 burpsuite https 抓包

  1. 下载 cacert.cer
    上一步中浏览器代理已经配置完,现在访问http://burp/,点击右侧 CA Certificate 下载 cacert.cer
    在这里插入图片描述
  2. firefox 配置证书
    设置里搜索证书,导入刚刚下载的 cacert.cer
    在这里插入图片描述
    在弹出的窗口中选择,然后确定
    在这里插入图片描述
    确认之后证书导入完成。
    进行抓包测试,随便访问一个网址,可以在【Burp】-【Proxy-】【HTTPHistory】里面看到如下 https 包
    在这里插入图片描述
    😄在这个位置即可查看到我们的数据包。我们可以进行修改数据包,在进行重新发送
    在这里插入图片描述
  3. Dashboard 模块的介绍(扫描与审计)

  • 新建扫描对象,这里使用的是爬取与审计测试,下面 protocol 模块可以设定爬取的条件,即不爬取某些对象 在这里插入图片描述其他按照默认的配置,可以设置自己的 UA 头
    在这里插入图片描述

  • 设置账户密码访问
    在这里插入图片描述

  • 其他参数
    在这里插入图片描述
    扫描结果:更详细可以点击项目的右下角 view 模块,看到爬取的 url 信息与扫描结果 在这里插入图片描述

  • 更详细的模块查看(Target 模块)

  1. New live task 模块的使用

  • 第一个模块:来自代理的实时审计(所有流量)

  • 第二个模块:从代理(所有流量)动态被动爬行
    在这里插入图片描述

  • 爬取结果
    在这里插入图片描述

  1. proxy 模块的使用
    (1)proxy 是最常用的模块,拦截代理流量进行操作等 在这里插入图片描述

    (2)proxy----intercept 模块详解
    可以审计当前的请求,或者存储和发送到其他的页面进行其他的操作等 在这里插入图片描述

    (3)proxy----http hitsory 模块 记录请求日志功能
    在这里插入图片描述

    (4)proxy----options 模块 监听配置
    在这里插入图片描述
    添加请求拦截规则设置模块–intercept client requests
    可以设置不拦截某些条件,例如不拦截请求地址后缀为 jpg 等,proxy 会自动放行此数据包 在这里插入图片描述

  • 下面一个模块针对返回包的拦截条件,目前用的不是太多
    在这里插入图片描述

  • 自动将请求包的指定内容替换成某些内容—match and replace 在这里插入图片描述

  1. Target 模块使用
  • 抓取流量后,本模块起到一个辅助的作用,可以观察捕获的页面内的链接等 在这里插入图片描述
  1. Repeater 模块使用介绍
  • 将数据发到 sitemap 模块
    在这里插入图片描述
  • 数据的加解密编码等
  1. intruder 模块使用介绍
    这个模块是经常是使用到的,这里将常用的模块列举出来
    爆破的四种模式:

  • Sniper:狙击手单点模式,将数据逐一填充到指定位置

  • Battering ram:将数据同时填充到多个指定位置,例 A 字典的数据同时填充到两个位置

  • Pitchfork:将每个字典逐一对称匹配,例如 A 字典的 1 号位与 B 字典的 1 号位匹配,绝不相交匹-配

  • Cluster bomb:将每个字典逐一交叉匹配,例如 A 字典的所有位与 B 字典的所有位都匹配
    在这里插入图片描述

  • inturder payload 组合破解爆破模式
    在这里插入图片描述

  1. 加解密模块 在这里插入图片描述

  2. 数据对比模块
    在这里插入图片描述

  3. 插件环境模块

  • 添加 java 与 python 环境
  • 注意!配置的 python 的 java 环境必须要有环境变量,即在 cmd 环境下可以直接使用 python 在这里插入图片描述
  1. 代理设置 User option 模块
    在这里插入图片描述
Lang-1210
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
总的来说,Burpsuite是Web安全领域的一款强大工具,通过学习这个教程,你可以掌握如何利用它进行基本的网络请求拦截、修改和分析,从而提升你的安全测试技能。记住,实践是掌握任何工具的关键,所以不要害怕尝试和...
最新版Burpsuite 工具,看完这篇就够了
VN520的博客
12-23 1962
最新版Burpsuite 工具
Web安全 BurpSuite渗透常用工具.(包含:截包分析,暴力破解,修改包数据,扫描网站等很多功能)
网络安全领域___专研者.
04-18 8118
BurpSuite概括: BurpSuite是一款集成化的渗透测试工具,用起来也很简单、方便。包含了很多功能(包含:截包分析,暴力破解,修改包数据,扫描网站等很多功能),用得最多的应该是开代理截包分析数据和爆破. Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作.
BurpSuite工具的介绍、下载、安装和使用
最新发布
weixin_68416970的博客
05-21 1429
非常详细的Burp工具学习笔记,包括下载、安装、各模块介绍等等
网络安全-02-BurpSuite工具详细安装教程
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
05-29 2万+
BurpSuite是一款对web应用进行安全测试的集成平台,基于Java语言开发(jar形式运行),运行需要Jdk环境。
【网络安全】渗透测试工具——Burp Suite
九芒星的博客
07-13 1万+
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
黑客工具BurpSuite详解
瓦罗兰特顶级C位的博客
01-11 1928
BurpSuite是用于攻击Web应用程序的集合平台,包含了许多工具BurpSuite为这些工具设计了许多接口,以加快攻击应用程序的过程。
burp suite手册中文001
06-24
Burp Suite 是一款功能强大的网络安全工具,主要用于测试 Web 应用程序的安全性。它集成了多种模块,包括 Burp Proxy、Scanner、Suite Spider、Intruder、Repeater 和 Sequencer 等,为渗透测试提供了全面的解决方案...
BurpSuite2.1.06.zip
12-22
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web...想学习更多BurpSuite,可以参见:https://t0data.gitbooks.io/burpsuite/content/ BurpSuite实战指南
Burpsuite 抓包学习工具
12-28
Burpsuite 抓包学习工具
burpsuite-1.7.30
01-30
Burpsuite-1.7.30是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。所以...
【2024最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
Libra1313的博客
01-22 7186
新建扫描对象,这里使用的是爬取与审计测试,下面protocol模块可以设定爬取的条件,即不爬取某些对象,其他按照默认的配置,可以设置自己的UA头设置账户密码访问其他参数扫描结果:更详细可以点击项目的右下角view模块,看到爬取的url信息与扫描结果更详细的模块查看你(Target模块)0x03 New live task 模块的使用第一个模块:来自代理的实时审计(所有流量)第二个模块:从代理(所有流量)动态被动爬行0x04 proxy 模块的使用。
渗透测试工具—BurpSuit的下载与安装
北冥同学的成长记录笔记
04-27 5783
Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。要想在渗透测试中提高效率,就不得不学习BurpSuit这个工具了。因此下载和安装BurpSuit软件是每一个网络安全人员的必修课。
渗透测试工具之:BurpSuite_burpsuite渗透测试
m0_59598029的博客
10-11 985
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
安全测试工具BurpSuite
好多可乐的博客
10-22 3228
BurpSuite主要就是通过抓包抓到网站的基本内容,然后对网站进行深入爬取,了解更多待测试的对象,再使用scanner对所有资源进行扫描,检测等。
【2023最新版】超详细Burp Suite安装保姆级教程,Burp Suite的基本介绍及使用,收藏这一篇就够了
yy1715713348的博客
12-23 3444
​ 一、简介 Burpsuite 是用于攻击 web 应用程序的集成平台。它包含了许多 Burp 工具,这些不同的 Burp 工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示 HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描 web 应用程序漏洞,以暴力破解登陆表单,执
BurpSuite 测试工具(超详细安装教程-图文讲解)
t13237652134的博客
09-23 849
通 过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞士军刀。1、作为测试人员,用户到的安全测试工具很多,常见的有AppScan,BurpSuite,Acunetix,nessus,今天我们来安装下Web安全扫描工具BurpSuite;6、进入解压的文件夹下,输入CMD,打开windows的终端编辑器,打开后执行如下的命名,打开破解解压BurpSuite的秘钥页面。7、打开安装BurpSuite秘钥的页面。
安全工具Burp Suite的安装及使用
m0_56632799的博客
12-02 2981
网络安全小白之安全工具Burp Suite的安装及使用
burpsuite新手学习
09-26
Burpsuite是一款安全攻防工具,对于新手来说,学习Burpsuite的入门难点主要包括模块多样、参数复杂和设置多变。要学习Burpsuite,可以按照以下步骤进行: 1. 下载和安装Burpsuite:可以从官方网站下载Burpsuite,并按照官方提供的安装指南进行安装。 2. 学习Burpsuite界面:熟悉Burpsuite的界面,了解各个功能区域的作用和用法。这些功能区域包括代理、目标、扫描、报告等。 3. 配置浏览器代理:将浏览器的代理设置为Burpsuite,这样可以通过Burpsuite拦截和修改浏览器与服务器之间的请求和响应。 4. 掌握基本的Burpsuite功能:学习如何使用Burpsuite进行拦截和修改请求、发送不同类型的请求、查看和分析请求和响应的详细信息等。 5. 学习使用Burpsuite的扫描功能:掌握如何使用Burpsuite进行漏洞扫描,包括常见的Web漏洞,如XSS、SQL注入等。 6. 学习使用Burpsuite插件:Burpsuite有许多强大的插件可以扩展其功能,学习如何安装和使用这些插件,以满足自己的需求。 7. 实践和练习:通过参加CTF比赛、漏洞挖掘等活动,不断实践和练习Burpsuite的使用,提高自己的技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值