Web漏洞扫描器—Burp Suite

最新推荐文章于 2024-05-11 13:42:23 发布
最新推荐文章于 2024-05-11 13:42:23 发布
阅读量2.5k 收藏 17
点赞数
分类专栏: Web利用 文章标签: web安全 扫描测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55313512/article/details/123220402
版权

Burp Suite—常规操作

抓包分析软件

从安装到使用抓包分析软件

一、Burp Suite—简介

Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。

Burp Suite 是用于攻击web应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并且能够处理对应的HTTP消息、持久性、认证、代理、日志、警报。

Burp Suite 是我们渗透测试人员在工作中最常用的工具,用来分析数据包进行测试。

二、Burp Suite—原理

浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具

 

三、Burp Suite—安装配置

1、安装Java 64位环境

https://www.java.com/zh_CN/download/

2、安装 jython 环境 jar 版本

https://www.jython.org/downloads.html

3、安装 Jruby 环境 jar 版本

https://www.jruby.org/download

4、设置浏览器代理

5、导入 HTTPS 证书

四、常用模块介绍

在渗透测试常用到的模块

1、Burp Target模块

查看目标整体情况,以及可能存在的攻击面,包含目录爬行等信息

教程链接:https://blog.csdn.net/u011781521/article/details/54463637

2、Burp Proxy模块

 

综合的分析数据模块,提供历史数据以及代理配置选项

教程链接:https://blog.csdn.net/u011781521/article/details/54426967 

3、Burp Intruder模块

 

自动化测试工具,在渗透测试中常常使用该模块进行模糊测试等情况 

教程链接:https://blog.csdn.net/weixin_44037296/article/details/102781785 

4、Burp Repeater模块

 

手工验证HTTP消息的测试,用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析

教程链接:https://blog.csdn.net/u011781521/article/details/54772846 

5、Burp Extender模块

Burp自带的第三方插件库,允许用户自己添加以及下载 

教程链接:https://blog.csdn.net/u011781521/article/details/54774027 

6、Burp Decoder模块

 

教程链接:https://blog.csdn.net/u011781521/article/details/54773780 

五、Burp Suite—插件利用检测

1、插件的安装

1、安装 python 环境

2、安装 sqlmap

3、添加环境变量

4、下载 sqlmap.jar 扩展包:http://pan.baidu.com/s/1skDVwq5 密码:ce5f

4、burp 加载插件

2、XSS插件的安装

1、Phantomjs 下载:http://phantomjs.org/download.html 配置环境变量,把bin目录下的exe加入环境变量,文件放在python script目录下

2、安装 xssValidator BApp Store

3、下载 xss.js 下载地址为:https://github.com/nVisium/xssValidator

4、利用 phantomjs 运行xss.js C: 

3、XSS插件和Burp使用

1、配置插件

2、抓包发送到 Intruder

3、配置 payload s为 xssValidator

4、配置 Intruder options 的 grep - match

5、开始

4、开源的插件项目

Burp Suite 的强大除了自身提供了丰富的可供测试人员使用的功能外,其提供的支持第三方拓展插件的功能也极大的方便使用者编写自己的自定义插件。Burp Suite 支持的插件类型有 Java、Python、Ruby 三种。无论哪种语言的实现,开发者只要选择自己熟悉的语言,按照接口规范去实现想要的功能即可。 

1、BApp Store 插件商店下载

2、开源插件项目github:https://github.com/search?utf8=%E2%9C%93%q=burp

5、抓取手机APP数据包

 

使用模拟器安装App应用,使用 Burp 抓取手机数据包

教程链接:https://blog.csdn.net/qq_23066945/article/details/103008400 

6、配置监听IP

 

教程链接:https://blog.csdn.net/YIGAOYU/article/details/105382966

InfI1traTe.
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burpsuite Web渗透-扫描工具(中间攻击,渗透大牛都用来修改包和监视包)
墨痕诉清风的博客
05-10 1万+
免费版本:渗透大牛都用来修改包和监视包(被动的) 收费版本:可以主动向web扫描获取漏洞 不过大家穷都用免费的 在学习Burpsuit之前,我先说一下什么是代理,就是代理网络用户去取得网络信息,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。形象地说:它是网络信息的中转站。一般情况下,我们使用浏览器直接去连接其他internet 站点取得网络...
BurpSuite手册-015-Burp Suite tools-logger
07-01
- **Scanner (Professional)**:高级的自动漏洞扫描器,能够自动发现多种类型的漏洞。 - **Intruder**:用于自动化攻击的工具,高度可配置,适用于各种攻击场景,如SQL注入或命令注入。 - **Repeater**:手动重发...
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
BitTraversal-开发中 安装 要求 BurpSuite >= 1.7 JVM 运行时 >= 1.8 从 GitHub 安装 从 github 下载最新版本 使用 burpsuite 导航到Extender > Add 选择下载的.jar文件 核心理念 Mutator 将针对从 burpsuite 看到的每个请求运行,例如(代理、转发器、扫描仪)生成许多潜在的 url,每个都附加一个要传递给 Executor 和 Detector 类的有效负载,以检测其中一种检测技术是否成功 该插件使用两种主要技术来识别目录遍历漏洞 检测方法 静电检测 动态检测 i) 使用在中指定的预定义有效,这些将在运行时从 GitHub 获取并与匹配 ii) 仍在开发中。 目的是检测与/static/css/main.css/和/static/../static/css/main.css相同的响应请求,
Burpsuite主动扫描New Scan详细解析
qq_60115503的博客
05-11 3760
Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
2024年最新Burp Suite应用分享之Web漏洞扫描_burpsuite扫描端口,2024年最新HarmonyOS鸿蒙开发自学技巧
最新发布
2401_84871342的博客
05-11 1132
可见,所有通过百度的数据包都已经被截获了,而且在截获的过程中爬行了相关域名下路径,可以再截获数据包的时候进行改包和发送,forward或者drop,这个就先不说了,此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项。等待的这段时间我在说点别的,其实对于这样的检测,可以推荐大家多使用appscan和WVS之类的软件,但我个人还是比较喜欢这个,不用安装,小巧方便,扫描的类型及范围都可自定义。还好是有限制的,高危的会显示为红色,黄色的是普通问题,还有就是?
Web漏洞扫描-Burp Suite
爱是与世界平行
03-12 1419
Web漏洞扫描-Burp Suite一、Burp Suite概述二、功能及特点三、Burp Suite安装四、Burp Suite使用 一、Burp Suite概述 安全渗透界使用最广泛的漏扫工具之一,能实现从漏洞发现到利用的完整过程。功能强大、配置较为复杂、可定制型强,支持丰富的第三方拓展插件。基于Java编写,跨平台支持,收费,不过有Free版本,功能较少。 https://portswigg...
Burp Suite应用分享之Web漏洞扫描
wuli1024的博客
11-30 1182
随着Web2.0时代的来临,后又推向Web3.0,Web安全开始备受瞩目,对于白帽来说,测试时使用的工具越方便、全面、迅速越好。下面推荐一个工具Burp Suite,其功能包括HTTP包的截获及修改,扫描,网站爬行,爆破,注入检测等功能。下面就讲解一下Burp Suite的用法(大牛绕过)Burp suite 是利用本地代理结果所传送的数据包,运行之前需要安装JAVA环境,当然网上转来转去的天花乱坠的教程很多,可是有用的地方很少,而有些人还在网上去卖这些工具的使用教程,实在无法忍受。
WEB漏洞扫描器-Burpsuite
weixin_44708624的博客
04-22 170
漏洞扫描 基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为 web漏洞扫描器 通过web漏洞扫描器进行信息搜集 Burp suite简介 集成化渗透测试工具,包含了许多工具,并为这些工具设计了许多接口。 ...
web漏洞扫描器-Burpsuite 常规测试
qq_58000413的博客
08-07 528
1、Sinper(狙击手) sinper主要是将bp截的包各个用$$符号标记的数据进行逐个遍历替换爆破次数=标记字段数*字典字段数量,例:标记了三处,字典为:111222333444555最终爆破次数为3*5=15,如下111、*、*,222、*、*,...*、111、*,*、222、*,............2、Battering ram(攻城槌): 这种攻击方式是将包内所有标记的数据进行同时替换再发出爆破次数=字典字段数量,例:标记3个字段,...树视图包含内容的分层表示,随着细分为地址,目录,...
burpsuite_pro_v1.4.01.zip
02-28
高级扫描器,执行后它能自动地发现web应用程序的安全漏洞; 入侵测试工具(Intruder):用于执行强大的定制攻击去发现及利用不同寻常的漏洞; 重放工具(Repeater):一个靠手动操作来触发单独的HTTP 请求,并...
burpsuite_pro_v1.5.14.zip
02-28
高级扫描器,执行后它能自动地发现web应用程序的安全漏洞; 入侵测试工具(Intruder):用于执行强大的定制攻击去发现及利用不同寻常的漏洞; 重放工具(Repeater):一个靠手动操作来触发单独的HTTP 请求,并...
burpsuite 系统漏洞扫描工具
11-28
burpsuite web系统漏洞扫描工具,windows系统下安装,扫描网站系统漏洞
漏洞扫描软件Burp-Suite-Pro-v1.7.37
06-16
Burp是一款用于Web应用程序安全测试的工具,它可以拦截、修改和重放HTTP请求,以便发现应用程序中的漏洞Burp还提供了许多其他功能,如漏洞扫描、代理服务器、自动化测试和报告生成。它被广泛用于渗透测试、代码审计和安全研究等领域。 内包含Burp_Suite_Pro_v1.7.37的安装配置依赖Java SDK 1.8 、Burp_Suite_Pro_v1.7.37、一键启动脚本、BurpSuite 文档说明.pdf
burpsuite_pro_v1.3.03.zip
02-28
高级扫描器,执行后它能自动地发现web应用程序的安全漏洞; 入侵测试工具(Intruder):用于执行强大的定制攻击去发现及利用不同寻常的漏洞; 重放工具(Repeater):一个靠手动操作来触发单独的HTTP 请求,并...
Burp Suite漏洞扫描
Kali与编程
02-26 696
在使用漏洞扫描器功能之前,我们需要先定义要扫描的目标。在Burp Suite中,我们可以通过以下步骤来定义扫描目标:在Burp Suite主界面的“Target”选项卡中,单击“Site map”按钮。右键单击要扫描的目标,并选择“Add to scope”选项。这将把目标添加到目标范围中。在“Target”选项卡中,单击“Engagement tools”按钮。在“Engagement tools”选项卡中,选择“Scanner”选项卡。
使用Burp Suite进行Web应用渗透测试
沐尘而生的博客
08-26 329
在 “Proxy” 标签的 “Intercept” 中,Burp Suite会自动分析传入和传出的请求和响应,以识别潜在的漏洞。打开Burp Suite,然后在 “Proxy” 标签下,启用 “Intercept” 功能,这将允许拦截和修改请求和响应。在 “Target” 标签中,转到 “Issues” 子标签,将看到Burp Suite生成的报告,列出发现的漏洞和问题。在拦截的请求中,可以选择将请求发送到 “Repeater”,以便更详细地分析和修改请求,以便测试不同的输入。
利用Burp suit扫描漏洞
贝隆的博客
02-04 2480
Burp suit扫描漏洞
burpsuite扫描网站漏洞
08-31
Burp Scanner是Burp Suite中的一个功能,它可以用于扫描网站的安全漏洞Burp Scanner可以执行两种扫描类型:主动扫描和被动扫描。主动扫描是指通过发送请求并分析响应来主动探测网站中的漏洞。被动扫描是指在代理模式下,Burp Scanner会拦截网站的请求和响应,并自动进行漏洞检测。 Burp Scanner是为渗透测试人员设计的工具,它可以自动发现web应用程序中的安全漏洞。它提供了类似于手动进行的半自动渗透测试的技术方法。 与其他独立运行的web扫描器不同,Burp Scanner与你在攻击应用程序时执行的操作紧密结合在一起。它让你细微地控制每个扫描请求,并直接反馈结果。因此,Burp Scanner提供了更高级别的控制和定制化能力,使你能够更好地发现和利用网站的漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [BurpSuite系列(四)----Scanner模块(漏洞扫描)](https://blog.csdn.net/u011781521/article/details/54561341)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值