零基础学习Burpsuite之代理功能

最新推荐文章于 2024-06-25 08:33:31 发布
最新推荐文章于 2024-06-25 08:33:31 发布
阅读量7.8k 收藏 27
点赞数 4
分类专栏: kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39353923/article/details/82751322
版权

Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写,由PortSwigger Security开发。

该工具有两个版本。可免费下载的免费版(免费版)和试用期后可购买的完整版(专业版)。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案。除了基本功能,如代理服务器,扫描仪和入侵者,该工具还包含更多高级选项,如蜘蛛,转发器,解码器,比较器,扩展器和音序器。

Burp套件背后的公司还开发了一个移动应用程序,其中包含与iOS 8及更高版本兼容的类似工具。

工具
HTTP代理(proxy) - 它作为Web代理服务器运行,并且作为浏览器和目标Web服务器之间的中间人。这允许拦截,检查和修改在两个方向上传递的原始业务。
扫描程序Scanner) - 一种Web应用程序安全扫描程序,用于执行Web应用程序的自动漏洞扫描。
入侵者(Intruder) - 此工具可以对Web应用程序执行自动攻击。该工具提供了可配置的算法,可以生成恶意HTTP请求。入侵者工具可以测试和检测SQL注入,跨站点脚本,参数操作和易受暴力攻击的漏洞。
Spider(爬虫) - 用于自动抓取Web应用程序的工具。它可以与手动映射技术结合使用,以加快映射应用程序内容和功能的过程。
中继器(Repeater) - 一种可用于手动测试应用程序的简单工具。它可用于修改对服务器的请求,重新发送它们并观察结果。
解码器(Decoder) - 用于将编码数据转换为规范形式,或将原始数据转换为各种编码和散列形式的工具。它能够使用启发式技术智能地识别多种编码格式。
比较(Comparer) - 用于在任意两项数据之间执行比较(视觉“差异”)的工具。
扩展器 - 允许安全测试人员加载Burp扩展,使用安全测试人员自己或第三方代码扩展Burp的功能(BAppStore)
扩展器(Extender) - 允许安全测试人员加载Burp扩展,使用安全测试人员自己或第三方代码扩展Burp的功能(BAppStore)
序列(Sequencer) - 用于分析数据项样本中随机性质的工具。它可用于测试应用程序的会话令牌或其他意图不可预测的重要数据项,例如反CSRF令牌,密码重置令牌等。

开始实验:
安装:
首先下载java编译器:https://www.oracle.com/technetwork/java/javase/downloads/index.html
然后下载hurp破解版:链接:https://pan.baidu.com/s/1NKXkbP97s1lG86Qzf1YTFw
提取码:r969

安装完成之后,我们开始第一个实验:
1,使用Burpsuite作为代理服务器拦截转发目标浏览器向服务端发送的HTTP请求
(1),首先我们需要设置字体为中文(否则会出现乱码现象),设置中文之后乱码会少一些…
在这里插入图片描述

(2),查看burp上面代理的配置情况(注意在Running那个选项下面勾选对号表示开启监听本地8080端口,注意勾选上)在这里插入图片描述
可以在下面的Match and Replace设置用户代理的信息,一方面为了隐藏自己的浏览器,另一方面可以通过勾选指定选项,去访问那些需要指定的浏览器才可以访问的网站在这里插入图片描述
(3),开启截断模式(注意第三步为Intercapt is on表示已开启截断模式,为Intercapt is off表示截断模式关闭)
在这里插入图片描述
(4)在浏览器中设置代理服务器为Burpsuite(注意浏览器中设置的IP地址和端口与Burpsuite中监听的地址和端口需要一致在这里插入图片描述

(5)在浏览器中输入一个地址,便可以在Burpsuite中查看到数据包的具体信息(如果发现不是自己向发出的数据包,则将包丢弃),下图为所要发送的HTTP数据包,那么点击Forward(转发)即使用该数据包去访问www.taobao.com这个域名的WEB服务器.当然也可以直接修改数据包信息,这个我们后面讲.
在这里插入图片描述
(6)经过Burpsuite将数据包转发之后,就可以在浏览器中看到自己需要去访问的网站啦在这里插入图片描述

实验二:使用Burpsuite抓取HTTPS数据包
1,首先需要安装CA证书
HTTPS协议是为了数据传输安全的需要,在HTTP原有的基础上,加入了安全套接字层SSL协议,SSL/TLS协议运行机制的概述,通过CA证书来验证服务器的身份,并对通信消息进行加密。基于HTTPS协议这些特性,我们在使用Burp Proxy代理时,需要增加更多的设置,才能拦截HTTPS的消息。

我们都知道,在HTTPS通信过程中,一个很重要的介质是CA证书,下面就我们一起来看看Burp Suite中CA证书的安装。
CA证书的安装
在kali linux下进行,因为windows下安装的burp是破解版,无法获取CA证书
1,配置浏览器代理(Firefox)

选项–常规–网络代理–手动设置配置,保存然后在终端输入burpsuite即可打开burpsuite
注意勾选下面的使用代理服务器对于所有的协议,然后点OK.
在这里插入图片描述
2, 在Burp运行时,在浏览器中访问http:// burp并单击“CA Certificate”链接以下载并保存您的Burp CA证书。记下保存Burp CA证书的位置。
在这里插入图片描述
3,在Firefox中打开Firefox菜单。单击“首选项Preferences在这里插入图片描述
4,选择“认证Authorities”选项卡单击“导入import”,选择先前保存的Burp CA证书文件,然后单击“打开”。在弹出的对话框中,选中“信任此CA以识别网站”框,然后单击“确定”。关闭所有对话框并重新启动Firefox。如果一切正常,您现在应该可以通过Burp访问任何HTTPS URL而无需任何安全警告。在这里插入图片描述
导入CA证书
在这里插入图片描述
使用该证书在这里插入图片描述
5,那么此时使用Burpsuite作为代理服务器的时候就不会出现不信任的网站的告警信息啦,点击转发即可
在这里插入图片描述

Louisnie
关注
  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 三.Burp Suite安装配置、Proxy基础用法及流量分析示例
杨秀璋的专栏
08-05 1万+
上一篇文章分享了Chrome浏览器保留密码功能渗透解析及登录加密入门笔记,结合实际例子一步步实现浏览器漏洞的挖掘。本篇文章着重讲解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例。非常基础的文章,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
burpsuite设置代理
kongkong的专栏
09-25 1763
1. 在chrome浏览器输入chrome://settings/ 2. 打开代理设置-局域网设置-代理服务器(地址127.0.0.1   端口8080) 3. 在Proxy-Options,选中代理服务器 4. Intercept解释 Forward: 跳过 Drop:丢掉 Intercept is on  拦截 Intercept is off 不拦截 Action 动作  ...
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-25 3045
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
[WEB安全]给BurpSuite设置非本地的网络代理
baguangman5501的博客
08-06 749
目录 0x01 一般情况 0x02 移动端流量抓取 0x03 多重代理的情形 0x04 参考链接 在Web渗透测试过程中,BurpSuite是不可或缺的神器之一。 BurpSuite的核心是代理Proxy,通常情况下使用BurpSuite的套路是:浏览器设置...
BurpSuit在不同浏览器中配置代理
北冥同学的成长记录笔记
04-28 9744
文章通过分享各大浏览器如何设置代理的知识,帮助初学者快速掌握代理配置相关技能。
BurpSuite | 配置上游代理
尼泊罗河伯的博客
01-05 2147
Burp Suite是用于攻击 web 应用程序的集成平台,包含了许多工具。Burp Suite 为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。Q.为什么要配置上游代理?A.我们在使用 BurpSuite 访问一些网页时,默认情况是使用本地 IP 的流量进行访问。那么,为了隐匿流量,安全起见。我们需要对 BurpSuite 的上游代理进行配置。至此 BurpSuite 配置上游代理服务器完成。
BurpSuite之HaE插件配置文件
01-30
HaE是BurpSuite敏感信息标记插件,官方下载地址为: https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
burpsuite好用版本
11-09
破解版Burpsuite1.7.26,渗透测试必用利器,可设备浏览器代理方便抓包分析等。
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
IOS之Burpsuite抓Https问题.pdf
01-09
### IOS之Burpsuite抓Https问题 #### 一、引言 在进行移动应用的安全测试时,特别是针对iOS平台的应用程序,我们经常会遇到需要通过工具如Burpsuite来进行网络流量捕获的情况。对于HTTPs加密通信的数据包捕获,由于...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
Burpsuite中的拦截代理功能可以捕获这些请求和响应,使我们能够查看、修改和重放它们。 在开始使用Burpsuite之前,你需要配置浏览器以使用Burpsuite作为其HTTP代理。通常,这涉及到在浏览器设置中输入Burpsuite启动...
burpsuite的原理及代理的设置
weixin_58849785的博客
04-08 2391
它由 PortSwigger 开发,广泛用于安全专业人员、渗透测试员和Web开发人员中,用于识别和利用Web应用程序中的漏洞。Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。第二步:打开浏览器,并设置burp的代理
如何为BurpSuite 2023+设置代理(如何为BurpSuite设置上层代理服务器/如何为BurpSuite设置代理服务器/如何为BurpSuite设置上游代理
gucxugxuxyf的博客
03-29 1389
由于一些原因,BurpSuite在较新版本中,界面的选项卡中没有UserOptions选项。或许大家在寻找资料的时候,可以看到好多文章都是在说用UserOptions选项卡来进行设置上层代理,但是新版本的BurpSuite没有这个选项卡了。笔者通过找寻,发现这个设置项目前被放到了BurpSuite的设置(Settings)中,特地写下这篇文章,和大家分享一下如何给新版的Burp设置上游代理
BurpSuite-Proxy使用
elmoyan的博客
10-09 1894
BurpSuite Proxy模块使用
BurpSuit-Proxy代理功能
千寻的博客
10-04 2420
Proxy代理功能 打开监听端口 浏览器代理设置(Friefox) BurpSuit功能 第一步:打开监听端口 第二步:浏览器代理设置(Friefox) 第三步:BurpSuit功能 intercept history Option   intercept intercept is on可以选择开区或关闭拦截功能, Forward放行拦截的数据包,然后网页就可以正常显示了,...
Web漏洞手工检测分析——Burp Suite基础Proxy功能
初心的博客
04-25 1160
实训环境: (1)在VMware中创建Windows Server2008与Kalilinux 虚拟机,并配置这两台虚拟机以构成局域网,设置Windows Server2008虚拟机中的网络和Kalilinux在同一网段,并可访问网络。 (2)在Windows Server2008虚拟机中配置IIS,并创建好测试网站dvwa 1、网络配置 ①虚拟网络编辑器设置 ②KaliLinux网络配置 ③...
Burp Suite的使用——Proxy
sinat_36735003的博客
06-28 1198
(参考书籍《Web安全攻防渗透测试实战指南》) 一、主要包含四部分 Forwod:将拦截的数据包或修改后的数据包发送到服务器。 Drop:丢弃当前拦截的数据包。 Intercept is on:开启拦截;Intercept is off:关闭拦截。 Action:可以将数据包发送到Spider、Intruder、Repeater、Sequencar、Comparer、Decoder等进行分析测试,以及复制URL,Do Intercept——Response to this request等功能
BurpSuite----Proxy模块(代理模块)
Dasdwer的博客
05-19 710
您可以使用此选项,在与SSL相关的响应修改选项结合,开展sslstrip般的攻击使用Burp,其中,强制执行HTTPS的应用程序可以降级为普通的HTTP的受害用户的流量在不知不觉中通过BurpProxy代理。这个选项是来显示所有请求产生的细节,显示的有目标服务器和端口,HTTP 方法,URL,以及请求中是否包含参数或被人工修改,HTTP 的响应状态码,响应字节大小,响应的 MIME类型,请求资源的文件类型,HTML 页面的标题,是否使用 SSL,远程 IP 地址,服务器设置的 cookies,请求的时间。
Burp Suite小白入门(代理
heyingcheng的博客
10-29 7788
Burp Suite是一款集成化的渗透测试工具,包含许多功能,我们可以使用他高效地完成对Web应用程序的渗透测试和攻击。总结:bp就是一个抓包,改包工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值