BurpSuite
饿极老人●冯人打
逆天逆空气,创天创世纪!!!
展开
-
Burp Suite使用介绍
https://www.cnblogs.com/nieliangcai/p/6692296.html转载 2020-07-08 14:00:58 · 186 阅读 · 0 评论 -
BurpSuite系列(十二)----User options模块(用户选择)
一、简介User options模块主要用来配置一些常用的选项。二、模块说明User options主要由4个模块组成:1.Connections 连接2.SSL3.Display4.Misc 杂项1.Connections 连接选项1:Platform Authentication选项2:Upstream Proxy Servers选项3:Socks Proxy2.SSL选项1:Java SSL Options选项2:Client SSL .转载 2020-07-08 14:00:43 · 419 阅读 · 0 评论 -
BurpSuite系列(十一)----Project options模块(项目选择)
一、简介Project options主要用来对Project的一些设置。二、模块说明Project options主要由五个模块组成:1.Connections 连接2.HTTP3.SSL4.Sessions5.Misc 杂项1.Connections 连接选项1:Platform Authentication选项2:Upstream proxy servers选项3:Socks proxy选项4:Timeouts选项5:Hosname Resol..转载 2020-07-08 14:00:24 · 548 阅读 · 0 评论 -
BurpSuite系列(十)----Extender模块(扩展器)
一、简介Burp在软件中提供了支持第三方拓展插件的功能,方便使用者编写自己的自定义插件或从插件商店中安装拓展插件。Burp扩展程序可以以多种方式支持自定义Burp的行为,例如:修改HTTP请求和响应,自定义UI,添加自定义扫描程序检查以及访问关键运行时信息,包括代理历史记录,目标站点地图和扫描程序问题等。二、模块说明Extender主要由四个模块组成:1.Extensions 扩展2.BApp Store 应用程序商店3.APIS4.Options 选项1.Extensions..转载 2020-07-03 10:47:23 · 502 阅读 · 0 评论 -
BurpSuite系列(九)----Comparer模块(比较器)
一、简介Burp Comparer在Burp Suite中主要提供一个可视化的差异比对功能,来对比分析两次数据之间的区别。使用中的场景可能是:1.枚举用户名过程中,对比分析登陆成功和失败时,服务器端反馈结果的区别。2.使用 Intruder 进行攻击时,对于不同的服务器端响应,可以很快的分析出两次响应的区别在哪里。3.进行SQL注入的盲注测试时,比较两次响应消息的差异,判断响应结果与注入条件的关联关系。二、模块说明对于Comparer的使用,主要有两个环节组成,先是数据加载,然后...转载 2020-07-03 10:28:10 · 268 阅读 · 0 评论 -
BurpSuite系列(八)----decoder模块(编码模块)
一、简介Burp Decoder是Burp Suite中一款编码解码工具,将原始数据转换成各种编码和哈希表的简单工具,它能够智能地识别多种编码格式采用启发式技术。二、模块说明通过有请求的任意模块的右键菜单send to Decoder或输入数据选择相应的数据格式即可进行解码编码操作,或直接点击Smart decoding进行智能解码。更重要的是,对于同一个数据,我们可以在Decoder的界面,进行多次编码解码的转换。————————————————版权声明:本文为CSDN博主转载 2020-07-03 10:27:20 · 461 阅读 · 0 评论 -
BurpSuite系列(七)----Sequencer模块(定序器)
一、简介Burp Sequencer是一种用于分析数据项的一个样本中的随机性质量的工具。你可以用它来测试应用程序的session tokens(会话tokens)或其他重要数据项的本意是不可预测的,比如反弹CSRF tokens,密码重置tokens等。二、模块说明Burp Sequencer主要由三个模块组成:1:Live capture 信息截取2:Manual load 手动加载3:Analysis options 选项分析1:Live capture 信息截取选项1:Se转载 2020-07-03 10:23:31 · 429 阅读 · 0 评论 -
BurpSuite系列(六)----Repeater模块(中继器)
一、简介Burp Repeater 是一个手动修改并补发个别 HTTP 请求,并分析他们的响应的工具。它最大的用途就是和其他 Burp Suite 工具结合起来。你可以从目标站点地图,从 Burp Proxy 浏览记录,或者从 Burp Intruder 攻击结果上的请求,发送到 Repeater 上,并手动调整这个请求来微调对漏洞的探测或攻击。二、模块说明1.可以从Proxy history、site map、Scanner等模块中右键菜单send to repeater发送到repeat转载 2020-07-03 10:21:56 · 433 阅读 · 0 评论 -
BurpSuite系列(五)----Intruder模块(暴力破解)
一、简介Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。二、转载 2020-07-03 10:15:46 · 239 阅读 · 0 评论 -
BurpSuite系列(四)----Scanner模块(漏洞扫描)
一、简介Burp Scanner 是一个进行自动发现 web 应用程序的安全漏洞的工具。它是为渗透测试人员设计的,并且它和你现有的手动执行进行的 web 应用程序半自动渗透测试的技术方法很相似。使用的大多数的 web 扫描器都是单独运行的:你提供了一个开始 URL,单击‖go‖,然后注视着进度条的更新直到扫描结束,最后产生一个报告。Burp Scanner 和这完全不同,在攻击一个应用程序时它和你执行的操作紧紧的结合在一起。让你细微控制着每一个扫描的请求,并直接反馈回结果。Burp ...转载 2020-07-03 10:13:26 · 511 阅读 · 0 评论 -
BurpSuite系列(三)----Spider模块(蜘蛛爬行)
一、简介Burp Spider 是一个映射 web 应用程序的工具。它使用多种智能技术对一个应用程序的内容和功能进行全面的清查。Burp Spider 通过跟踪 HTML 和 JavaScript 以及提交的表单中的超链接来映射目标应用程序,它还使用了一些其他的线索,如目录列表,资源类型的注释,以及 robots.txt 文件。结果会在站点地图中以树和表的形式显示出来,提供了一个清楚并非常详细的目标应用程序视图。Burp Spider 能使你清楚地了解到一个 web 应用程序是怎样工作的,让你避转载 2020-07-03 10:10:23 · 382 阅读 · 0 评论 -
BurpSuite系列(二)----Target模块(目标模块)
Target功能目标工具包含了SiteMap,用你的目标应用程序的详细信息。它可以让你定义哪些对象在范围上为你目前的工作,也可以让你手动测试漏洞的过程,Target分为site map和scope两个选项卡。选项一、Site MapSiteMap会在目标中以树形和表形式显示,并且还可以查看完整的请求和响应。树视图包含内容的分层表示,随着细分为地址,目录,文件和参数化请 求的URL 。您还可以扩大有趣的分支才能看到进一步的细节。如果您选择树的一个或多个部分,在所有子分支所选择的项目和项目都...转载 2020-07-03 10:08:37 · 231 阅读 · 0 评论 -
BurpSuite系列(一)----Proxy模块(代理模块)
一、简介Proxy代理模块作为BurpSuite的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Burp 代理允许你通过监视和操纵应用程序传输的关键参数和其他数据来查找和探索应用程序的漏洞。通过以恶意的方式修改浏览器的请求,Burp 代理可以用来进行攻击,如:SQL 注入,cookie 欺骗,提升权限,会话劫持,目录遍历,缓冲区溢出。拦截的传输可以被修改成原始文本,也可以是包含参数或者消息头的表格,也可以十六进制形转载 2020-07-03 10:04:23 · 318 阅读 · 0 评论