渗透测试-burp suite实战

最新推荐文章于 2024-09-28 06:00:00 发布
最新推荐文章于 2024-09-28 06:00:00 发布
阅读量476 收藏 3
点赞数 1
分类专栏: 测试 文章标签: 安全 web安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54607609/article/details/127520020
版权

一、修改请求和响应

  • proxy-options 添加代理服务8888端口
  • 拦截请求或响应设置
    • proxy-options默认拦截请求
    • 如果拦截响应,先勾选xiangying
    • 如果都勾选都会拦截,forward放行

在这里插入图片描述

请求域名过多,可以专门设置拦截的域名
在这里插入图片描述

  • 实战

    • 原型,title和搜索栏都是ceshi

  • 在这里插入图片描述

    • 修改请求参数,把ceshi换成cscscscscs
      在这里插入图片描述

    • 修改响应title,把ceshi换成xiugaixiangying
      在这里插入图片描述

    • 结果

    • 在这里插入图片描述

二、扫描漏洞入口

  • 扫描站点
    在这里插入图片描述
    -扫描已访问请求
    在这里插入图片描述

  • 扫描拦截的请求
    在这里插入图片描述-结果
    扫描队列里,黑色是不存在漏洞,红色是存在漏洞

  • 暂停扫描 右键pause
    在这里插入图片描述

三、站点比较

在这里插入图片描述

  • 修改session的cookie,执行compare site map功能时会使用session中的cookie重新执行上述请求

在这里插入图片描述
在这里插入图片描述橘色是修改的,蓝色是删除的,黄色是添加的
在这里插入图片描述

四、repeater实战

通过改cookie

  • pikachu http://www.pikachu.com/vul/overpermission/op2/op2_user.php

  • 管理员账号实现添加用户,右键send repeater
    在这里插入图片描述在这里插入图片描述

  • 普通账号登录,获取cookie
    在这里插入图片描述
    -修改Cookie,修改用户名,以便分辨;网站必须是普通用户登录的状态下;go;刷新

在这里插入图片描述

五、intruder

四种攻击方式;
Sniper:每次用字典的一个值去代替一个待攻击的原始值,其余值不变
Battering ram:使字典里的每个值同时代替所有待攻击的原始值

:使每个字典的值轮流代替所该攻击的原始值,如果字典数量元素不一致,以字典元素数量最小的为准
Cluster bomb:各参数取值的组合(每个字典元素数量的笛卡尔积)
在这里插入图片描述

蓝白汤姆
关注
专栏目录
Burp Suite实战介绍教程
weixin_46703850的博客
01-14 697
Burp Suite是一款非常好用的渗透暴破工具,本文通过实战Burp Suite进行较全面的简介。
Web安全BurpSuite实战
天地沧海
01-28 1043
https://www.freebuf.com/column/155797.html https://www.freebuf.com/column/156238.html burp简介 Burp SuiteWeb应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。 Burp所需环境 Burp Suite是Java编写的...
PIKACHU | PIKACHU 靶场初识
最新发布
Blue17 の 小窝
09-28 1736
PIKACHU 是一款开源的练习 Web 漏洞的综合靶场,使用 PHP 代码编写而成,它包含了多种常见的 Web 安全漏洞,适合不同水平的用户进行实验和学习。PIKACHU 中包含漏洞类型如下:Burt Force - 暴力破解漏洞XSS - 跨站脚本漏洞CSRF - 跨站请求伪造漏洞SQL Injection - SQL 注入漏洞RCE - 远程命令/代码执行漏洞Files Inclusion - 文件包含漏洞Unsafe file downloads - 不安全的文件下载。
BurpSuite实战指南
好记性不如烂笔头
03-13 1841
在网上搜索到BurpSuite的使用指南,特留一个链接于此,方便查阅。 引子 第一部分 Burp Suite 基础 Burp Suite 安装和环境配置 Burp Suite代理和浏览器设置 如何使用Burp Suite 代理 SSL和Proxy高级选项 如何使用Burp Target 如何使用Burp Spider 如何使用Burp Scanner 如何使用Burp Intruder 如何使用Burp Repeater 如何使用Burp Sequencer 如何使用Burp Decoder 如何使用Bur
BurpSuite实战
韩束一叶子
05-18 799
实验所属系列:web安全 实验对象:本科/专科信息安全专业 相关课程及专业:网络安全,计算机网络 实验类别:实践实验类。
Burp Suite 实战指南_高清电子书
04-18
Burp Suite 实战指南_最新版,适合新手进阶 高清可以复制文字。
Web安全攻防 渗透测试实战指南》学习笔记(4) - BurpSuite
白帽子续命指南
04-24 725
如有侵权,请联系删除 Proxy 代理 就是拦截,抓包,修改,再放行 Spider 爬虫 有助于我们了解网站的目录结构,内容在Target中显示 我们爬取一下我最爱的B站 可以看到左侧有目录树,随便点开一个可以看到响应和请求,以及对应的报文 但是这个和那个history有什么区别我还真不知道 Decoder 解码 编码解码及散列的转换工具 一共有三个选项,Decoder(解码)、Encoder(...
BurpSuite-collections:BurpSuite收集:包括不限于 Burp 文章、破解版、插件(非BApp Store)、汉化等相关教程,欢迎添砖加瓦---burpsuite-pro burpsuite-extender burpsuite cracked-version hackbar hacktools fuzzing fuzz-testing burp-plugin burp-extensions bapp-store brute-force-attacks brute-force-p
04-24
Burp-Suite-collections BurpSuite 相关收集项目,插件主要是非BApp Store(商店) 所有的破解汉化或者使用burpsuite都是在你配置好了Java环境的前提下!!! burpsuite pro 1.37 ...| +--- burpsuite实战指南.pdf |
渗透测试工具burpsuite详细使用教程
02-02
Burp Suite是一款由PortSwigger公司开发的集成化网络应用安全测试工具,它集成了多种渗透测试组件,能够帮助安全研究人员或渗透测试员更加高效地完成对Web应用的安全测试。通过Burp Suite,即使不具备高深的渗透技巧...
burpsuite-实战指南-带目录可编辑.pdf
06-02
编写《Burp Suite实战指南》的目的在于为读者提供一个系统学习和应用Burp Suite的平台,无论是安全新手还是经验丰富的测试者,都能在书中找到有帮助的信息和技巧。作者通过自身经验的积累和对官方文档的解读,加上对...
渗透测试 ( 8 ) --- Burp Suite Pro 官方文档
墨鱼菜鸡
07-11 1407
Burp Suite 官网 :https://portswigger.net/burp 官方文档:https://portswigger.net/burp/documentation/desktop 完整文档:https://portswigger.net/burp/documentation/contents Burp Suite 实...
burpsuite 实战指南 高清
01-02
web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了Burp Suite,除了它功能强大之外,还有就是好用,易于上手。于是就从网上下载了一个破解版的来用,记得那时候好像是1.2版本,功能也没有现在这么强大。
BurpSuite 实战指南.pdf 中文完整版
04-23
BurpSuite 实战指南主要是针对Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。 Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。
Burpsuite实战指南
03-07
适用于Burpsuit初学者,burpsuit是一款非常经典的漏洞扫描工具
Burp Suite
01-23
用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Burp suite
09-12
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
burpsuite实战指南.pdf
07-02
整体来看,BurpSuite实战指南通过从基础到高级的详细指导,为渗透测试人员提供了一套全面的BurpSuite使用教程。书中不仅涵盖了BurpSuite的主要功能和高级配置,还教授如何在实际的渗透测试中综合使用这些功能来提高...
渗透测试实战-BurpSuite 使用入门
qq_48811377的博客
06-26 916
近期笔者在学习 web 渗透测试的相关内容,主要是为了公司之后的安全产品服务。渗透测试本身在学习过程中还是很有意思的,有一种学习到了之前想学但是没学的黑客技术的感觉,并且对笔者已掌握的许多知识做了有益的补充。要学习渗透测试,首先需要明白什么是渗透测试,以及如何进行渗透测试,这其中很多资料可以在网上找到。渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。渗透测试人员使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。
burpsuite实战指南
天地沧海
08-30 1175
https://t0data.gitbooks.io/burpsuite/content/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值