web安全基础-burpsuite

最新推荐文章于 2024-07-29 11:08:39 发布
最新推荐文章于 2024-07-29 11:08:39 发布
阅读量617 收藏
点赞数
分类专栏: 网络空间安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41821067/article/details/113194367
版权
本文介绍了如何在Ubuntu系统下安装并配置BurpSuite,包括设置代理、导入证书以及抓取HTTP和HTTPS的数据包。通过BurpSuite,可以对网站进行漏洞扫描,理解HTTP请求和响应的细节,以及分析POST请求内容和服务器返回的状态码。同时,文中还提到了手机代理设置和证书安装,便于进行移动设备的抓包分析。
摘要由CSDN通过智能技术生成

以下内容仅供参考,笔记是自己在假期学习网络安全做的笔记,供自己以后查看,笔记略乱

目录

burpsuite漏洞扫描工具

Ubuntu下burpsuite安装

启动Burploader.jar包
java -jar /opt/burpsuite/BurpLoader.jar
安装成功之后打开,
查看proxy - options下的接口是127.0.0.1:8080,running打上勾,如下图

修改浏览器的http代理地址为127.0.0.1,端口为8080

检查是否安装成功
用浏览器随便输入一个http的网址,查看burpsuite下的proxy 下的intercept是否得到一个数据包,抓到一个请求
那burpsuite如何抓取https的包呢?

访问http://burp

点击右上角下载证书

把证书添加到浏览器设置中的信任证书一栏

设置浏览器代理地址

逻辑关系

在这里插入图片描述
编辑burp代理

百度查找

手机代理设置

手机证书添加

把刚刚下载的证书添加到手机上

抓包内容分析

post请求内容格式

web请求
http://www.farmsec.org/forum.phpmod=forumdisplay&fid=52
http://www.farmsec.org/forum.php/search/ford/fid

返回结果

1xx;提供信息
200请求成功提交
3XX 客户端被服务器定位其他
4XX 请求是错误的,比如无请求资源
5XX服务器出现错误
https只负责两端加密,等于http+SSL/TLS

编码

unicode /URL /UTF-8/Unix时间戳/html/base64
URL编码:
%3d在中是=
%25是%
%20代表空格
%00
在burpsuite中有解码工具
具体只有强加练习

Nefelibat
关注
专栏目录
Web安全 -- BurpSuite实战(上)
redBu1l的博客
12-10 1518
burp简介Burp Suite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。Burp所需环境Burp Suite是Java编写的,所以在使用前需要安装Jdk环境,这里不进行具体讲解如何安装jdk,安装完成后将jdk相关目录添加到环境变量中。主要功能首先,我们看下burp都有哪些功能,并且都是用来做什么的。 proxy
Web安全神器-Burpsuite社区版/专业版下载、安装及使用教程
hack0919的博客
05-30 7556
Burp Suite是进行Web应用安全测试的一个集成平台,无缝融合各种安全工具并提供全面的接口适配,支持完整的Web应用测试流程,从最初的映射和应用程序的攻击面分析到发现和利用安全漏洞等领域均适用,同时还可以做抓包分析、密码暴力破解等,是比较常用的一款网络安全的工具。
web神器BurpSuite
03-12
web安全领域最受欢迎的工具之一,功能强大,此为1.7.26版本。亲测Java8环境可以正常运行,Java10会出问题。解压密码xx123,欢迎下载
[工具推荐]前端加解密之Burp插件Galaxy
最新发布
LiangYueSec的博客
07-29 1915
[工具推荐]前端加解密之Burp插件Galaxy
BurpSuite官方实验室之逻辑漏洞
tpaer的博客
11-28 2209
这是BurpSuit官方的实验室靶场,以下将记录个人逻辑漏洞共11个Lab的通关过程。
burpsuite代理监听
nejore的博客
06-09 473
burpsuite代理配置
Burp-Timestamp-Editor:提供弹出菜单以在Burp消息编辑器中编辑Unix时间戳
03-18
提供一个GUI,以在Burp消息编辑器中查看和编辑Unix时间戳。 选择时间戳,然后右键单击并选择“编辑时间戳”或“查看时间戳”。它可以处理以秒,毫秒和微秒为单位的时间戳(尽管UI会将其还原为0毫秒/微秒)。 “编辑时间戳”菜单仅在可编辑对象上可用,并且如果无法将所选值解析为时间戳,则该菜单将被禁用。如果可以解析,则菜单项上还会显示一个工具提示,以显示日期,以进行快速转换。 如果可以将所选值解析为时间戳,则“查看时间戳”菜单可用于其他对象(例如,代理历史记录)。同样,如果可以解析,则有一个工具提示。 上下文菜单 日期选择器 工具提示 观看者 此扩展使用库。
网络安全CTF系列培训教程之Web篇-burpsuite爆破弱密码
2401_84300255的博客
04-27 1106
最后,点击Start attack 按钮,开始爆破攻击,等待片刻后,点击Length,根据返回web返回数据包字节长度进行排序,因为登录成功与登录不成功的web返回数据包字节长度肯定不一样,排序不同的那个即为爆破成功的密码。在师资力量,教学资源,学习环境,课程设置上均比自学有一定的优势。报名微信:ctfayang。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
Web应用安全Burpsuite工具介绍.pptx
06-18
Burp Suite 是一款集成化的 Web 应用安全测试工具,由 Java 开发,具备跨平台性,主要用于协助安全专业人员进行渗透测试和攻击模拟。它集成了多种功能模块,使测试过程更加高效且灵活。 1. **Burp Target**:此模块...
基础入门篇--Burpsuite抓取数据包的格式
weixin_68243135的博客
07-26 3038
Burpsuite抓取数据包的格式,Request请求数据包数据格式、及各自段的含义
安全测试工具--BurpSuite使用
u013465115的博客
01-25 1371
BurpSuit是用于攻击web应用程序的集成平台,包含了很多的Burp工具,通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。它主要用来做安全性渗透测试。 1、Burpsuite安装及进入 在官网直接进行下载,是付费软件,也可以找破解版进行安装。 安装成功后进入burpsuite的主界面(我使用的是community edition),如下: 点击下一步,单击startBurp就可以进入burpsuite了:
BurpSuite系列(三)----Spider模块(蜘蛛爬行)
热门推荐
fendo
01-15 2万+
一、简介 Burp Spider 是一个映射 web 应用程序的工具。它使用多种智能技术对一个应用程序的内容和功能进行全面的清查。 Burp Spider 通过跟踪 HTML 和 JavaScript 以及提交的表单中的超链接来映射目标应用程序,它还使用了一些其他的线索,如目录列表,资源类型的注释,以及 robots.txt 文件。结果会在站点地图中以树和表的形式显示出来,提供了一个清
基于Burpsuite安全测试十五:密码找回模块测试
chang_jinling的专栏
06-22 916
基于Burpsuite安全测试十五:密码找回模块测试 情景1:验证码客户端回显测试 有些网站会选择将验证码回显在响应body中,和用户前端输入的验证码做一致性判断,如果一致就会通过校验。比如,在找回密码过程中,需要输入邮箱再点击发送验证码,此时抓包会发现请求参数发送的是输入的邮箱,(将邮箱改为自己的邮箱也可尝试是否可以收到验证码),查看响应包,如果响应包中包含了验证码,则攻击者可以直接把该验...
【简单工具】BurpSuite密码爆破(暴力破解DVWA high级别下的用户名及密码——带token验证)
Fighting_hawk的博客
01-30 8737
1. 了解DVWA靶场的安全级别设置; 2. 掌握请求内容含user_token的密码爆破;
安全测试漏洞大全
weixin_45625450的博客
08-27 5243
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息的安全则出现了隐患。..
BurpSuite安装与浏览器导入证书
cc
01-30 1万+
Burp Suite是一个用于测试网络应用程序安全性的图形化工具,如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版(只有基本功能)、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。
保姆级 | 最新Burpsuite安装配置
尼泊罗河伯的博客
01-09 8526
BS 是用于攻击 web 应用程序的集成平台,包含了许多工具。BS为这些工具设计了许多接口,以加快攻击应用程序的过程。此文章主要对 BS 破解安装过程中使用到的工具链接做一个备忘,以便于下次安装。
Burpsuite 插件的学习与使用
Goodric的博客
07-21 1815
burp 可以使用三种语言编写的扩展插件,Java、python 和 ruby 。 除Java外,其它两种语言需要的扩展插件需要专门的配置运行环境。即 Location of Jython(Ruby) standalone JAR file: 这个选项需要下载的环境路径。...
BurpSuite实战指南》:详尽中文教程带你精通Web安全工具
BurpSuite实战指南》是一套针对网络安全领域,特别是Web安全渗透测试的详细教程。作者是一位经验丰富的IT从业者,他发现尽管BurpSuite是一款强大的工具,但当时中文的教程和资料相对匮乏,多为零散的片段式讲解,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nefelibat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值