Burp suite常用操作(Target、Option)

已于 2022-08-15 10:43:23 修改
阅读量1.9k 收藏 1
点赞数
分类专栏: 信息安全工具 文章标签: web安全 网络 安全 安全性测试 测试工具
于 2022-08-11 11:36:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/126063083
版权

官网:https://portswigger.net/burp/documentation/de sktop/tools

目录

1.网络代理

 2.Burp Suite代理设置

2.1 Options选项

3.Burp suite 拦截HTTPS

 3.1 通过证书加密

4.Target模块的作用

4.1 与HTTP History的区别

4.2 Target模块的作用

tip 攻击面

4.2.1 Scope

4.2.2 Sitemap

1.网络代理

 2.Burp Suite代理设置

operationdescription
Forward
放行本次拦截的包,发送到服务器
Drop
丢弃本次拦截的包
on/off
拦截开关
Action
对数据的操作
Open in Browser
打开内置浏览器

2.1 Options选项

operationdescription
Proxy Listeners
监听器
Intercept Client Requests
请求拦截规则
Intercept Server Response
响应拦截规则
Response Modification
响应结果修改
Match and Replace
匹配和替换
TLS Pass Through
TLS穿透
Miscellaneous
杂项

3.Burp suite 拦截HTTPS

 3.1 通过证书加密

  • 操作系统安装根证书,里面有CA的公钥
  • CA颁发的证书,包含机构的公钥,并且用CA的公钥对机构公钥摘要加签
  • 浏览器利用CA的公钥对摘要进行验签,确定机构公钥合法
  • 浏览器用机构的公钥与服务器协商会话密钥
  • 浏览器与服务器用会话密钥通信

4.Target模块的作用

4.1 与HTTP History的区别

  • HTTP History按时间顺序记录
  • Target按主机或者域名分类记录

4.2 Target模块的作用

  • 把握网站的整体情况
  • 对工作的域进行分析
  • 分析网站存在的攻击面

tip 攻击面

一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大。
包括:字段、协议、接口、服务、硬件的攻击点。

4.2.1 Scope

  1. 限定Sitemap和HTTP history记录哪些域的内容
  2. 限定Spider抓取哪些域的内容
  3. 限定Scanner扫描哪些域的安全漏洞

4.2.2 Sitemap

  1. 可以进行hidden设置,选择需要显示的数据。

     2. 右键具体文件名

  • Add to scope
  • Scan
  • Passively scan this branch
  • Actively scan this branch
  • Send to Intruder
  • Send to Repeater
  • Send to Sequencer
  • Send to Comparer
  • Request in browser
  • Engagement tools
  • Compare site maps
  • Expand branch
  • Expand requested items
  • Delete item
  • Copy URLs in this branch
  • Copy links in this branch
  • Copy as curl command
  • Save selected items Issues
  • View
  • Show new site map window
  • Site map documentation

Request in browser

如果只保留URL的值,HTTP响应里面的set-cookie值不会同步,Token同理,BP提供此处方法,获取到BP代理的URL

Referer字段
  • 作用:告诉服务器当前请求是从哪个页面链接过来的
  • 应用场景:
  1. 来源统计
  2. 防盗链

Compare site maps

BP提供可视化对比二次HTTP请求的工具,选择二次数据包进行对比

@Camelus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BurpSuite实战五之使用Burp Target
悦分享
06-10 308
Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息,下面我们就分别来看看Burp Target的三个组成部分。本章的主要内容有:目标域设置 Target Scope站 点 地 图 Site MapTarget 工具的使用目标域设置 Target ScopeTarget Scope中作用域的定义比较宽泛,通常来说,当我们对某个产品进行渗透测试时,可以通过域名或者主机名去限制拦
BurpSuite手册-010-Burp Suite tools-target
06-29
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
4.Burp Suite 入门篇 —— 设置抓包范围 target scope
最新发布
YouTheFreedom的博客
04-09 804
本篇文章主要讲如何在使用 burpsuite 时设置 target scope,也就是抓包的目标范围,目标范围限制了 burp 只捕获要测试的 URL 地址或域名,这样就能够过滤掉浏览器和其他网站产生的无关流量,只保留我们需要的流量记录。
BurpSuite系列(十二)----User options模块(用户选择)
fendo
02-01 3279
一、简介 User options模块主要用来配置一些常用的选项。 二、模块说明 User options主要由4个模块组成: 1.Connections 连接 2.SSL 3.Display 4.Misc  杂项 1.Connections 连接 选项1:Platform Authentication 选项2
1-13 Burpsuite Intruder Options介绍
山兔的博客
12-02 825
Burpsuite Intruder Option选项中Request设置 设置Request请求内容,以及设置Request引擎。 自动更新当前HTTP请求和响应的长度 设置连接头关闭 Burpsuite Intruder Option选项中Attack Result设置 针对结果进行设置,存储请求或结果等。 Burpsuite Intruder Option选项中Grep - Match设置 标出符合特定表达式的结果。 Burpsuite Intruder Option选项中Grep - Exac
burp suite 使用教程详解(外文翻译转)
weixin_30500105的博客
08-04 479
Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理--Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的...
BurpSuite 2.0的介绍
weixin_30360497的博客
08-22 345
BurpSuite简介 BurpSuite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。Burpsuite结合先进的手工技术与先进的自动化,使你的工作更快,更有效,更有趣。在安全人员常用工具表中,burpsuite排在第13位,且排名在不断上升,由此可见它在安全人员手中的重要性。...
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
Burpsuite是一款强大的网络安全工具,尤其在Web应用安全测试领域有着广泛的应用。它是一个集成的平台,包含了多种功能模块,如拦截HTTP代理、扫描器、入侵检测系统等,用于帮助安全专家进行渗透测试和应用程序安全...
BurpSuite2.1.06.zip
12-22
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 Burp Suite是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用...
burpsuite安装教程
04-08
burpsuite安装教程 首先,从官网下载您需要的Burp Suite版本。 安装Java Development Kit(JDK)。Burp Suite是用Java编写的,因此需要预先安装Java环境才能运行。如果您已经安装了JDK,则可以跳过此步骤。 解压缩...
burpsuite3个月试用版
01-19
burpsuite3个月试用版
burp suite手册中文001
06-24
**Burp Suite 手册中文版简介** Burp Suite 是一款功能强大的网络安全工具,主要用于测试 Web 应用程序的安全性。它集成了多种模块,包括 Burp Proxy、Scanner、Suite Spider、Intruder、Repeater 和 Sequencer 等...
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
burp的使用教程
weixin_53440207的博客
02-19 3165
最详细的burp图文使用教程
Burp Suite常用工具使用介绍
qq_44813849的博客
04-14 3702
Proxy(代理) 截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 proxy代理是burp suite的一个关键工具,所有的工作都是围绕它来展开的,当我们使用burpsuite时最先打开的也是这个界面。下面这张图片是proxy的主界面。 点击options进入proxy配置界面,在这里设置地址和端口。 下面就是设置浏览...
最新版Burpsuite 工具,看完这篇就够了
VN520的博客
12-23 1946
最新版Burpsuite 工具
Burpsuite工具的使用
weixin_44110913的博客
07-29 2540
目录 Burpsuite Proxy代理模块 Repeater模块(改包,重放) Intruder模块(爆破) Target模块 position模块 Payloads模块 Options模块 一处爆破点  多处爆破点 Spider模块(爬取网站目录) 只拦截特定网站的数据包 Scanner扫描模块 主动扫描 被动扫描 Sequencer模块的使用 Comparer模块的使用 BurpSuite中好用的第三方...
burpsuite常用插件
08-27
Burp Suite是一款功能强大的Web应用程序渗透测试工具,它有许多常用的插件可以帮助安全测试人员进行各种渗透测试任务。以下是一些常用Burp Suite插件: 1. Turbo Intruder:用于高速自定义的HTTP请求发送和漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值