安全测试工具BurpSuite

已于 2022-10-22 20:46:31 修改
阅读量3.2k 收藏 20
点赞数 2
文章标签: 安全 网络
于 2022-10-22 19:56:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36792120/article/details/127461518
版权
BurpSuite是一款强大的安全渗透测试工具,具备代理、爬虫、暴力破解等功能。它广泛应用于服务端和客户端的安全测试,如篡改请求和响应。操作上,包括开启代理、配置抓包、篡改请求和接口漏洞注入等步骤。通过这款工具,可以深入分析网站内容,进行安全扫描和漏洞检测。
摘要由CSDN通过智能技术生成

安全测试工具BurpSuite

BurpSuite是世界有名的安全渗透工具,相对开放,定制型强,很多黑客和渗透测试工程师都在使用。

一、BurpSuite的重要特征

1、代理工具(Proxy):抓包,数据分析,类似charles
2、爬虫(Spider):爬取网站内容,资源接口参数等
3、暴力破解(Intruder):接口具体字段进行数据注入,可以多线程并发破解
4、漏洞扫描(Scanner付费)
5、重放请求(Repeater)
6、附属工具(Decode Comparer)
7、扩展定制(Extender)

二、BurpSuite的应用场景

  • 服务端攻击:篡改请求
  • 客户端攻击:篡改响应(充值时候,如果输入负数,客户端会拦截,不允许输入负数。但是发包时候,可以拦截包,强行改成负数)

三、BurpSuite实操

一、开启代理工具

在这里插入图片描述

二、配置代理:

在这里插入图片描述

三、开启抓取内容

  • 输入网址,点击回车
    在这里插入图片描述
  • 回到burpsuite,这里会看到抓到的请求
    在这里插入图片描述
  • 我们可以基于这个去分析网站的基本内容,你可以把它发到其他功能去完成接口的分析。我们也可以继续浏览,让系统抓到更多的数据包
    在这里插入图片描述
  • 比如点击spider from here,系统会根据你提供的网站,帮你爬取网站相关的接口,资源,但爬取内容有时候不一定是完整的
    在这里插入图片描述

四、尝试篡改请求

尝试进行故障注入,比如我这边修改请求
在这里插入图片描述
在这里插入图片描述
这里看到已经抓到了
在这里插入图片描述在这里插入图片描述

  • 这里也看到了刚刚注入的数据
    在这里插入图片描述

  • 有了这些内容以后,可以进行安全扫描,暴力破解,重放等功能的渗透测试
    在这里插入图片描述

  • 开启了这个选项后,比如我想拦截bing.com
    在这里插入图片描述
    在这里插入图片描述

  • 会抓到并进行拦截,这边可以进行修改,然后点击forward进行放行,比如这里是改成ceshiren.com
    在这里插入图片描述

  • 这里会看到实际访问的是ceshiren.com
    在这里插入图片描述

五、进行接口漏洞注入

  • 首先,在接口里点击send to intruder,添加到intruder里
  • 然后点击intruder选项,我们想要把id=2替换成其他内容
    在这里插入图片描述
  • 我们可以在这里添加测试注入的语句去检测网站是否有安全漏洞,这个特别适合手工配合去做测试,比如自动化工具很难扫描到复杂的流程,现在可以手工登录进来,进行一些自动化扫描
  • 在这里插入图片描述
    除了这些之外,还有重放,结果比对,扩展。

三、总结

这个工具主要就是通过抓包抓到网站的基本内容,然后对网站进行深入爬取,了解更多待测试的对象,再使用scanner对所有资源进行扫描,检测等。

好多可乐
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BurpSuite安全测试工具
06-23
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报
burpsuite安全测试工具
04-05
Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。 通过拦截HTTP/HTTPS的...
盘点 | 安全测试者偏爱的安全测试工具
m0_61101264的博客
10-30 254
WinDbg 基于 GUI 应用程序运行,主要可在 Windows 操作系统遇到崩溃或其他“蓝屏死机”的情况下调试内存转储,也可用于调试用户模式的应用程序、驱动程序和操作系统本身(内核模式下调试),还能够通过匹配各种条件(例如,时间戳、CRC、单个甚至多处理器版本),从服务器自动加载调试符号文件(例如 PDB 文件)。OSSEC HIDS 基于可扩展且开源的主机,是一个多平台入侵检测系统,具有强大的关联能力和分析引擎功能,可以实现完整性检查、日志分析、基于时间的警报、日志分析和主动响应。
揭秘最为知名的黑客工具之一:Burp Suite
最新发布
xiaoganbuaiuk的博客
06-23 879
感兴趣的小伙伴,赠送全套AIGC学习资料,包含AI绘画、AI人工智能等前沿科技教程和软件工具,具体看这里。​AIGC技术的未来发展前景广阔,随着人工智能技术的不断发展,AIGC技术也将不断提高。未来,AIGC技术将在游戏和计算领域得到更广泛的应用,使游戏和计算系统具有更高效、更智能、更灵活的特性。同时,AIGC技术也将与人工智能技术紧密结合,在更多的领域得到广泛应用,对程序员来说影响至关重要。未来,AIGC技术将继续得到提高,同时也将与人工智能技术紧密结合,在更多的领域得到广泛应用。
安全测试工具收集
软件质量优化
12-08 9608
<br />持续收集中...<br /> <br /> <br /> <br />JAD - Java反编译工具<br /> <br /> <br /> <br />Flash Decompiler<br />http://www.flash-decompiler.com/<br />从FLASH文件swf中提取所有资源的工具软件。包括:声音、图像、视频、图形、帧画面、文本、字体、按键、图标及动作脚本。<br /> <br /> <br /> <br />WSockExpert<br />WSockExpe
安全测试工具
软件质量优化
12-20 4691
安全测试工具陈能技2007-12-20 Elfriede Dustin在STP的07年第11期杂志上有一篇关于安全测试工具的文章:《Gunfight at The OK Button》。 文中列出了安全测试工具的15个要点:1、针对源代码,测试出任何类型的弱点。2、针对二进制文件,例如可执行文件,测试出任何类型的弱点。3、检测实时系统的问题,像死锁检测、异步行
2015年十大黑客测试工具你认识几个?
wuxiaobingandbob的专栏
01-07 4701
http://diyitui.com/content-1452055433.37271288.html 来自:FreeBuf.COM关注黑客与极客(微信号:freebuf) 原文地址:concise-courses,FB小编FireFrank编译 链接:http://www.freebuf.com/tools/91462.html 如果你真的喜欢安全,了解下面这些工
安全测试工具之-Burpsuite
weixin_33810302的博客
12-05 182
2019独角兽企业重金招聘Python工程师标准>>> ...
渗透测试工具burpsuite详细使用教程
02-02
Burp Suite是一款由PortSwigger公司开发的集成化网络应用安全测试工具,它集成了多种渗透测试组件,能够帮助安全研究人员或渗透测试员更加高效地完成对Web应用的安全测试。通过Burp Suite,即使不具备高深的渗透技巧...
安全测试工具Burp Suite professinonal的使用方法.docx
11-13
详细介绍了burp suite professionalg工具的使用教程,通过总结网络上其他的说明汇总。
BurpSuite v2.1 开源安全测试工具
08-06
**BurpSuite v2.1 开源安全测试工具详解** BurpSuite是一款广泛使用的网络应用程序安全测试工具,尤其在渗透测试领域中具有极高的声誉。它由PortSwigger公司开发,提供了一整套功能强大的工具,帮助安全专业人员...
安全测试工具及方法
03-02
主要关于安全测试工具方面的介绍及安全性测试方面知识,比较详细客观
burpsuite工具
01-17
burpsuite最新版的呀java环境的支持才可以使用
burpsuit安全测试工具
10-22
burp suit professional v1.4.07绿色版,含网站扫描功能,解压直接使用!
11款常用的安全测试工具
热门推荐
天下任我行
03-15 5万+
1. AppScan 一款安全漏洞扫描工具,支持Web和移动,现在安全测试做漏洞扫描非常适用,它相当于是"探索"和"测试"的过程,最终生成很直观的测试报告,有助于研发人员分析和修复通常安全测试工具用这个,扫描一些安全漏洞,用起来比较方便,网上资料比较多,适合很多测试同学用,资料广阔,大家可以尝试下。 官网:https://www.ibm.com/developerworks/downloads/r...
软件安全测试工具
书启鸿蒙知秋枫
11-14 1423
Web服务扫描器测试Web服务的安全功能并识别安全漏洞,可扫描WSDL文件,列举Web服务提供的方法,生成各种输入参数操纵方法调用,测试XML消息加密、XML消息签名、签名验证等安全功能,WS-Security安全规范一致性测试。动态分析工具在软件运行时构造异常场景,测试软件是否存在安全缺陷,可以截获系统调用,记录函数执行信息,执行边界检查,执行文件系统、网络接口、系统资源等故障注入,识别内存泄漏、竞争条件、不可达代码、类型不匹配等安全问题。设计模型验证工具验证软件的设计模型是否存在安全缺陷。
安全测试必学神器 --BurpSuite 安装及使用实操
人生不怕起点低,就怕没追求
05-16 849
BurpSuite是一款功能强大的集成化安全测试工具,专门用于攻击和测试Web应用程序的安全性。适合安全测试、渗透测试和开发人员使用。本篇文章基于BurpSuite安装及常用实操做详解,如果你是一名安全测试初学者,会大有收获!
网络安全】渗透测试工具——Burp Suite
九芒星的博客
07-13 1万+
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值