1、Burp Suite 简介
Burp Suite是一个用于测试Web应用程序安全性的图形工具。它集成了多种渗透测试组件,包括代理、爬虫、扫描、重放、解码编码等,是Web攻防中必不可少的工具之一。
Burp Suite分为免费版和专业版。专业版需要购买,它比免费版多了Scanner组件和其他功能。
Burp Suite主要包含以下8个组件:
- Proxy:是一个进行数据包拦截、修改的HTTP或者HTTPS Web应用代理服器,可以设在客户端与服务器之间,对客户的请求进行拦截、分析并修改数据包。
- Spider:是一个智能网络爬虫,它能爬取和枚举应用的目录结构和功能。
- Scanner:是一个漏洞扫描工具,只有专业版可以使用该组件。使用它可以自动发现Web应用可能存在的漏洞。
- Intruder:是一个可定制化的工具,非常强大,可以利用此工具进行枚举、fuzz漏洞测试等。
- Repeater:是一个数据包重放工具,可以利用它对某个截获的数据包不断修改,通过重放此数据包,根据服务器返回的信息进行漏洞分析。
- Sequencer:是一个可以分析数据项随机性质量的工具,可以用它对Web应用程序中的Session token进行分析。
- Decoder:是一个编码和解码的工具,可以进行URL、Base64等多种形式的编码和解码。
- Comparer:是一个差异化分析工具,可以对比两个不同的字符串。
Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据、服务器端的返回信息等。Burp Suite主要拦截HTTP和HTTPS协议的流量,通过拦截,B