Burp Suite功能简单介绍
0x00 前言
之前虽然一直在用burpsuite,但是从来没有系统的学习它的使用,而且我一般只使用3、4个功能,像是proxy、repeater、spider、intruder,最近把它系统的研究了一下各个功能,写个文章留存一下。
要是有什么错误的地方希望大家批评指正。
哦还要说一下,这篇文章不是教程,教程网上很多,这个就是把大部分主要的功能进行了介绍,对这款软件有一个系统的了解。越往后写的越少,确实因为时间关系,以后会加以补充,例如使用非常频繁的repeater功能,几句话就带过了。毕竟是软件,有个初步的了解,实践中就渐渐的就会熟悉了。
这里我使用的是BurpSuite V1.6.27
附上百度网盘链接:http://pan.baidu.com/s/1pKuCuU3
提取密码:7a1v
0x01 target
site map
这个主要是由spider功能模块爬出对应网站的一个站点地图,这里我通过spider功能扒取本地的一个74cms做测试。具体的怎么爬出站点地图在稍后的spider进行介绍。
如图所示的,
区块1就是扫描整个网站的站点地图
区块2就是递交的请求情况
区块3就是请求头和响应头的详细信息,包括源码,参数,头,16进制码。
区块4就是该网站存在的问题,这个spider功能能够扫描出网站一些比较明显的问题,当然肯定不全面,参考意义不是很大,漏洞扫描器推荐awvs,这个最开始还是比较好用的,不过到后来就会发现其实很多漏洞根本扫不出来。
区块5就是对应问题的详细信息以及解决方法。
然后可以看出区块上面还有一个filter的功能,这也是一个比较强大的功能,稍后做介绍。
scope
然后是target下的scope栏目,
分别就是在范围的显示和在范围内的不显示,而且可以看出是支持正则表达式的,这里增删改就不做详述了,应该能自己看懂的。
0x02 Proxy
这个代理抓包功能应该是使用最频繁的功能之一了,原理就是通过把127.0.0.1设