Burp Suite 模块介绍

已于 2024-09-03 16:40:03 修改
阅读量244 收藏 6
点赞数 5
文章标签: 测试工具
于 2024-08-29 16:58:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59580677/article/details/141682617
版权

1. 安装与配置

  • 下载与安装:从官方网站下载Burp Suite Professional或Community版本并安装。
  • 浏览器代理设置:配置浏览器(如Chrome、Firefox)使用Burp Suite作为HTTP/HTTPS代理服务器。通常设置为127.0.0.1端口8080(HTTP)或8081(HTTPS)。

2. 启动Burp Suite

  • 启动程序:运行Burp Suite。
  • 选择项目:创建一个新的测试项目或者打开一个现有的项目。

3. 基本界面

  • Proxy:拦截HTTP/HTTPS流量。
  • Spider:自动爬取网站内容。
  • Scanner:自动扫描漏洞。
  • Intruder:暴力破解和模糊测试。
  • Repeater:手动测试请求。
  • Sequencer:评估随机数发生器的质量。
  • Decoder:编码/解码工具。
  • Comparer:比较两个响应。

4. 使用Proxy模块

  • 启用监听:打开Proxy模块,确保代理监听器已启用。
  • 浏览目标站点:通过配置好的代理浏览器访问目标站点,所有请求和响应都会被Burp捕获。
  • 拦截模式:在Proxy的Options中开启Intercept模式,这样可以通过Burp手动修改请求/响应后再发送。

5. 使用Spider模块

  • 开始爬取:在Spider模块中输入起始URL,然后点击Start按钮开始爬取。
  • 配置选项:根据需要调整爬取深度和速度等设置。

6. 使用Scanner模块

  • 自动扫描:选择要扫描的目标,启动扫描。
  • 配置扫描器:在Scanner模块中配置扫描规则和策略。
  • 查看结果:扫描完成后,查看扫描结果和报告。

7. 使用Intruder模块

  • 设置Payload:配置Intruder中的Payload Set来生成不同的请求。
  • 选择攻击类型:例如Sniper、Battering Ram、Pitchfork等。
  • 执行攻击:开始攻击并分析结果。

8. 使用Repeater模块

  • 发送请求:将感兴趣的请求从Proxy拖到Repeater。
  • 修改请求:手动修改请求的内容。
  • 发送修改后的请求:观察响应的变化。

9. 使用Sequencer模块

  • 评估随机性:发送一系列请求到Sequencer,评估会话令牌或其他随机数的随机性。

10. 使用Decoder模块

  • 编码解码:使用各种编码解码功能来处理数据。

11. 报告与文档

  • 导出报告:在Burp Suite中生成安全测试报告。
  • 保存项目:保存项目以便后续继续工作。

宗介波妞
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
18-5 burpsuite模块介绍之Intruder
weixin_43263566的博客
12-28 1395
使用【Auto $】按钮:点击【Auto 】按钮,������������将自动识别请求中的参数并为其添加】按钮,BurpIntruder将自动识别请求中的参数并为其添加前缀。使用【Clear 】按钮:选中一个或多个已经带有】按钮:选中一个或多个已经带有前缀的参数,然后点击【Clear 】按钮,将去除这些参数的】按钮,将去除这些参数的前缀。使用【Add $】按钮:选中一个或多个参数,然后点击【Add 】按钮,将为这些参数添加】按钮,将为这些参数添加前缀,表示它们将被作为攻击载荷进行替换。
19-1 burpsuite模块介绍之repeater
weixin_43263566的博客
12-29 824
repeater是一个用于手动操作和发送个别HTTP请求的简单工具,它可以帮助您分析应用程序的响应。您可以使用repeater从Burp Suite的任何位置发送内部请求,然后修改请求并发送。通过这种方式,您可以测试和调试应用程序,并对请求和响应进行精细控制。
Burp suite模块介绍使用
weixin_42515203的博客
05-13 964
Burp Suite工具的功能介绍
Burp Suite模块介绍
CH3UHX9
02-28 212
Burp Suite模块介绍 Target 主要功能 显示信息。 默认记录爬虫所爬行的页面及每个页面的请求头以及相应信息。 使用流程 在Site map中,将目标站点发送到Scope。 使用Filter过滤。 任意的URL/HTTP请求都可以发送到其他模块。 Spider 主要功能 网络爬虫,枚举应用程序的内容和功能。 在爬行时默认进行漏洞扫描,检测每个访问过的URL。 使用流程 在Proxy中的Action将请求发送到Spider。 在Target>Site map中即可看到爬行列
19-1.3 burpsuite模块介绍之compare
weixin_43263566的博客
12-31 551
Burp Comparer是Burp Suite中的一个工具,主要提供一个可视化的差异比对功能,可以用于分析比较两次数据之间的区别。可以找个靶场进行密码爆破然后对比请求成功也请求失败的,我感觉太麻烦了就随便找个网站进行登录:先输入一个错误的账号在输入一个正确的账号进行对比、通过Burp Comparer,你可以方便地比较和分析不同版本的数据,发现其中的差异点,并针对这些差异点进行相应的处理和调整。进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。
19-1.1 burpsuite模块介绍之decoder
weixin_43263566的博客
12-30 795
decoder是一个简单的工具,用于将原始数据转换成各种编码和哈希表。它能够智能地识别多种编码格式采用启发式技术。UrlHTMLBase64ASCII码Hex(十六进制)Octal(八进制)Binary(二进制)GZIPBurpDecoder是BurpSuite中的一款编码解码工具,用于对原始数据进行各种编码格式和散列的转换。它的界面主要分为三个部分:输入域、输出域和编码解码选项。输入域(Input Field):这是你需要输入原始数据的地方。
18-3 burpsuite模块介绍之proxy(代理)
weixin_43263566的博客
12-26 970
点击浏览器右上角扩展程序图标,然后选择 Proxy Switchyomega 插件按钮,选择对应的情景模式(刚才创建的),在该页面输入要访问的URL后,此时的请求流量即会通过BurpSuite。点击浏览器右上角扩展程序图标,然后选择 Proxy Switchyomega 插件按钮,选择对应的情景模式(刚才创建的),在该页面输入要访问的URL后,此时的请求流量即会通过BurpSuite。缓存和内容过滤:代理服务器可以缓存已请求的数据,当再次请求相同的数据时,可以直接返回缓存的内容,提高访问速度。
19-2 burpsuite模块介绍之extender(扩展)
weixin_43263566的博客
01-03 734
这些Burp扩展程序可以以多种方式定制Burp的行为,包括修改HTTP请求和响应、自定义UI、添加自定义扫描程序检查以及访问关键的运行时信息,如代理历史记录、目标站点地图和扫描程序问题。(第二、三个变量我这里是知道正确的账号所以就直接选择简单列表手动输入进行爆破,如果在不知道的情况下,可以在网上下载密码字典然后选“载入中.....”,或者选择蛮力破解),然后设置第二、三个变量(上一步你设置了多少个爆破参数这里就需要设置多少个变量)。设置第二、三个变量(这里根据之前设置的爆破参数的不同也会 不同)
burpsuite模块详解
c_programj的博客
05-05 3539
Burpsuite模块的使用1、Target(目标):1.1 sitemap介绍1.2 scope介绍2、Proxy(代理):2.1 Intercept介绍2.2 HTTP history介绍2.3 Options介绍3、Spider(抓取):3.1 Control介绍3.2 options介绍4、canner(扫描器)4.1 Issue actively介绍4.2 Scan queue介绍4.3 Live scanning介绍4.4 Issue definitions介绍4.5 Options介绍5、In
SpringMVC重点功能底层源码解析
业精于勤荒于嬉,行成于思毁于随
09-06 1612
SpringMVC在进行把String转成User对象时,会先判断有没有User类型对应的StringToUserEditor,如果有就会利用它来把String转成User对象,如果没有则会找User类中有没有String类型参数的构造方法,如果有则用该构造方法来构造出User对象。
SpringMVC基于注解使用:JSON
kkkkkkkok的博客
09-06 731
01-json处理--介绍 json数据格式回顾: 在pom.xml导入依赖 在web.xml里面导入配置文件 @ResponseBody 注解是将返回值作为文本返回到客户端了而不是字符串了 当我们想返回bean对象的json数据的时候我们需要先导入jackson依赖在pom.xml里面 然后创建User类,然后创建方法在方法上加入@ResponseBody注解 用list存储json数据 处了在方法上加@ResponseBody注解还可以在类上面把@
slf4j依赖冲突处理
最新发布
wzp1986的专栏
09-11 280
处理spring应用、hive3的日志输出
MVC(Model-View-Controller)和MVVM(Model-View-ViewModel)
qq_34358193的博客
09-08 994
是一种常用的架构模式,用于分离应用程序的逻辑、数据和展示。它通过三个核心组件(模型、视图和控制器)将应用程序的业务逻辑与用户界面隔离,促进代码的可维护性、可扩展性和模块化。在 MVC 模式中,各组件可以与多种设计模式结合使用,以增强灵活性和可维护性。
编写单元测试
WZX17307935391的博客
09-07 643
编写单元测试,学习并使用JUnit、Mockito测试框架,确保代码的稳定性和可维护性。
架构模式:MVC
一鸣惊人的博客
09-09 989
MVC 首次将心智模型与数字模型建立联系,同时将代码逻辑进行分层,将「渲染」「控制 / 分发」与数据存储进行有机分隔。此后,在涉及界面展示的编程领域,人们大概率会想到 MVC 的分隔方式并依此实现。因此,MVC 存在各种变种和通信方式,如 Backbone JS 中 View 和 Model 之间可以相互更改;Cocoa MVC 中 View 和 Controller 之间、Controller 和 Model 之间相互更改。
Pytest-@pytest.fixture夹具篇(一)
qq_17496235的博客
09-05 588
在Python的pytest测试框架中,是一个(不是唯一)装饰器,用于定义一个测试夹具。
【车载开发系列】ParaSoft单元测试环境配置(一)
千月星跡
09-08 1119
bdf是数据文件的一种类型,表示一种数据库文件。在ParaSoft当中,可以使用bdf文件来快速创建一个测试项目。
SpringMVC基于注解使用:上传&下载
kkkkkkkok的博客
09-06 491
​。
burpsuite模块介绍
07-27
- *2* *3* [burpsuite模块详解](https://blog.csdn.net/c_programj/article/details/116427142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值