安全测试-3-burpsuite工具的使用

最新推荐文章于 2024-07-23 14:36:35 发布
最新推荐文章于 2024-07-23 14:36:35 发布
阅读量206 收藏
点赞数
分类专栏: tester 文章标签: python http java https linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42675140/article/details/113722527
版权

一、burpsuitu各种设置

1、设置字体

注意:需要设置为宋体,否则响应信息看起来会乱码

 2、证书下载及安装

证书下载安装,代理的浏览器输入:http://burp/

打开证书,下一步下一步,需要注意以下所示,需选择:受信任的根证书颁发机构

这样设置有问题,于是博主直接使用火狐里面的证书进行导入:设置--搜索证书--查看证书--导入

 3、设置代理

 web也需要设置代理,如火狐浏览器:

APP在连接wifi处设置代理:

 

 

 二、拦截器模块:lntercept

 具体使用:

  • Forward表示将截断的HTTP或HTTPS请求发送到服务器。
  • Drop表示将截断的HTTP或HTTPS请求丢弃。
  • Intercept is on 和 Intercept is off 表示开启或关闭代理截断功能。
  • Action表示将代理截断的HTTP或HTTPS请求发送到其他模块或做其他处理。
  • 对Intercept进行 Raw Hex Params Header 切换查看不同的数据格式。

以下设置为拦截指定设置,比如设置拦截URL:www.cnblogs.com

那么当我们请求和响应域名为它的时候会自动拦截,其它域名则不拦截。可用正则表达式;

 

三、其它模块

1、Scope 范围,设置后可过滤不必要的URL,一般我们把需要测试的域名进行添加在目标范围内,这样更方便直观;

 2、重发:右键选中某个url进行重发

 

 3、遍历重发:lntruder

将url添加至lntruder

 

 清空默认的变量,再将需要的变量进行添加

 设置变量类型的值范围:

 Start attack 开始攻击

结果如下:

 Attack Type 类型简介:

1、Sniper 狙击枪模式,只针对一个位置进行探测。
2、Battering ram 攻城锤模式,针对多个位置使用一个Payload。
3、Pitchfork 单叉模式,针对多个位置使用不同的多个Payload。
4、Cluster Bomb 激素炮模式,针对多个位置,全部组合。

推荐插件:AutoRepeater

在越权方面显然很需要,比如A用户token,替换成B用户token的使用场景

更多插件请参考大佬的文章:https://mp.weixin.qq.com/s/XEl4kgjtC76BYUqMQW4ZBQ

感谢某些大佬在B站开源教学视频、破解工具提供学习,欢迎来大家QQ交流群一起学习:482713805

姚二龙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全测试工具--BurpSuite使用
u013465115的博客
01-25 1346
BurpSuit是用于攻击web应用程序的集成平台,包含了很多的Burp工具,通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。它主要用来做安全性渗透测试。 1、Burpsuite安装及进入 在官网直接进行下载,是付费软件,也可以找破解版进行安装。 安装成功后进入burpsuite的主界面(我使用的是community edition),如下: 点击下一步,单击startBurp就可以进入burpsuite了:
Burpsuite工具的代理抓包功能实验
未名编程
07-20 1388
实验声明:本实验教程仅供研究学习使用,请勿用于非法用途,违者一律自行承担所有风险! 实验目的实验环境实验原理实验步骤第一步 启动Burpsuite第二步 配置Burpsuite的监听参数第三步 配置Firefox的代理功能第四步 正常访问uoload-labs平台第五步 启动代理方式访问uoload-labs平台思考与总结 实验目的 通过本实验理解Burpsuite工具代理抓包功能的配置方法,掌握如何利用Burpsuite工具查看request和response信息,熟悉Burpsuite常见功能的使.
BurpSuite工具使用心得
yuanyuantuan的博客
12-30 536
BurpSuite 使用
安全测试-2-一篇文章了解burpsuite
有话好好说vx:GoGsxl
01-02 547
Burp Suite Professional 2020 官方下载:https://portswigger.net/burp/releases 是一款新推出的全新版本渗透测试工具软件,它主要是用于测试网络的安全性,操作简单,使用也很方便,帮助用户快速、有效的进行网络安全测试。在当今这个时代网络安全非常重要,当你的网络处于不安全状态时,容易中木马病毒和受到黑客攻击,这对你来说是非常不利的,...
Spring boot框架自定义拦截器做安全验证
weixin_43788143的博客
08-10 231
一 创建项目 创建一个Sping Boot项目 并且在创建的时候集成Sping Web。目录结构如图所示。 二 自定义拦截器 拦截器拦截的对象是当页面跳转的时候查看session是否存在,例如只有用户在登录以后才可以访问自己的主页,所以当页面直接跳转到用户主页的时候会判断有没有这个用户的信息,如果有则通过,如果没有则拦截并跳转到程序设置的页面 package com.example.taskaop.interceptor; import org.springframework.web.servlet.H
headless-burp:使用Burp Suite自动化安全测试
05-17
提供一套扩展程序和一个maven插件,以使用自动执行安全测试。 有关该项目的完整文档,请访问 无头打p(扫描仪)现已发布到 方案D:扫描的内容不仅限于GET请求。 使用从运行的功能测试获得的数据作为扫描的输入 tl...
burpsuite安全测试工具
04-05
Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。 通过拦截HTTP/HTTPS的...
jython-standalone-2.7.1 burpsuite的python环境配置
05-25
标题"jython-standalone-2.7.1 burpsuite的python环境配置"指的是使用Jython(一个Python的Java实现)的独立版本2.7.1来配置Burp Suite(一个流行的网络安全测试工具)的Python环境。Burp Suite允许用户通过编写...
BurpSuite手册-015-Burp Suite tools-logger
07-01
Burp Suite 是一款强大的Web应用程序安全测试平台,包含多个工具,旨在帮助安全专家进行渗透测试和漏洞检测。本文主要关注其内置的Logger组件,这是一个记录和分析HTTP流量的工具,对于理解和诊断测试过程中的问题...
jdk-17 ,BurpSuite 新版本环境及报错
04-25
在IT行业中,Java开发工具包(Java Development Kit,简称JDK)是开发和运行Java应用程序的基础,而BurpSuite是一款广泛使用的网络安全工具,主要用于Web应用安全测试。在本主题"jdk-17 ,BurpSuite 新版本环境及报错...
接口安全----接口防刷(拦截器)
qq_47614329的博客
01-03 1104
接口安全----接口防刷(拦截器)
安全测试学习之BurpSuite工具使用
weixin_42484187的博客
01-22 1484
安全测试学习之BurpSuite工具使用 一、工具运行环境: BurpSuite 是一个集成化的渗透测试工具,具有很多的渗透测试组件。可以实现拦截请求,抓包等类似fiddler和postman但比其更强大的功能。Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。但Burp Suite是用Java语言开发的,运行时依赖于JRE,需要提前Java可运行环境。 工具下载包可在网...
burp-中文不显示或乱码的解决办法
qq_36583958的博客
03-22 2万+
burp响应报文中含有中文时,会出现不显示中文或中文乱码的情况。 解决方法: 进入User options->Display选项卡 修改Http Message Display为宋体 Charater sets选择GB2312
burpsuite的字体设置
热门推荐
平凡
03-18 2万+
本人也是刚接触burp suite ,这是一个强大的神器,但是UI确实让人不敢恭维。   那too small的字体让你的激情立马消去。 所以首先不是学习它的使用,而是先做些设置!   但是蛋疼的是它是英文的界面,而且字体设置的选项太隐蔽,我就在这里给大家分享一下,   一般来说,字体调到15就可以了,这样就好多了,Font大家可以任选,适合就好。 但是Look and feel这个选项
【渗透测试】如何利用burpsuite测试无回显漏洞
Testfan_zhou的博客
06-20 4271
前面的文章讲了在windows和linux上的不同的无文件渗透测试的方法,那么这篇文章给大家讲解如何在漏洞没有回显的情况下,利用burpsuite自带插件进行测试的方式。 首先我们稍微提一下有哪些无回显的漏洞,一般有盲注(SQL注入的一种)、盲XXE(XML外部实体注入的一种)、命令执行、一些特殊的框架漏洞/没有回显的SSRF漏洞等,这些漏洞在正常测试时都没有回显,所以为了更为直观的测试,我们需要...
BurpSuit抓包软件字体设置方法
m0_46143427的博客
04-06 4210
BurpSuit软件界面内容太多,我用的还是英文版,字体太小,看着贼不方便。 修改方法: 1、在User options里选择Display 2、在User Interface里可以调整整个软件的字体大小,一般16就行了。 3、在HTTP Message Display里可以调整抓取的HTTP请求的字体大小,点击Change font即可修改。 ...
第三章 如何使用Burp Suite代理
weixin_30469895的博客
10-20 477
Burp Proxy 是Burp Suite以用户驱动测试流程功能的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。 本章主要讲述以下内容: Burp Proxy基本使用 数据拦截与控制 可选项配置Options 历史记录History Burp Proxy基本使用 通过上一章的学习,我们对Burp Suite代理模式和浏览器代理设置有了...
burpsuite工具使用(详细讲解)
weixin_46709219的博客
09-27 1万+
一)我已经在之前详细的说明了burpsuite的安装过程,如果不了解的可以看 burpsuite安装教程 ,在这了补充说明一下,在安装完burpsuite并设置完代理后,会出现如果访问的url是使用http协议的就可以进行抓包,如果访问的url是使用HTTPS协议的就会出现如下图的错误提示: 这其实就是因为没有安装一个 CA 证书,我们只需值地址栏输入 http://burp 然后点击右上角的CA Certificate,这时会自动下载一个名为cacert.der的证书文件,如下图: 接着有两种导入CA
随机数种子的作用
最新发布
帆的博客
07-23 1105
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
Burp Suite 安全测试工具中文指南
Burp Suite 是一款功能强大的网络安全工具,主要用于Web应用程序的安全测试。它集成了多种模块,包括代理、扫描器、入侵者、爬虫、比较器等,使得安全专家能够进行全面的渗透测试和漏洞检测。 在开始使用Burp Suite...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚二龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值