初步认识Burpsuit
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
**
一、下载Burpsuit
**
通过官方链接 http://portswigger.net/burp/download.html 下载
需要环境:64X操作系统与java运行环境
**
二、认识Burpsuit
1、
***代理–Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包.
Spider(蜘蛛)–Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。
Scanner(扫描器)–它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确.
Intruder(入侵)–此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等.
Repeater(中继器)–此功能用于根据不同的情况修改和发送相同的请求次数并分析.
Sequencer–此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.
Decoder(解码)–此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.
Comparer–此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.
2、
Proxy这个功能是代理抓数据包,原理就是通过把127.0.0.1设置为代理服务器,由本机发起的请求都会通过127.0.0.1,然后就可以把请求和响应包都截取下来。
(1)Options一栏如下操作
(2)
intercept
所有浏览器发出的请求和接受的响应都会被burpsuite拦截,我们需要在这个功能中打开请求
Forward:通俗来说就是将包发送出去
Drop:丢弃掉包
Action:说明一个菜单可用的动作行为操作可以有哪些操作功能。
burp target
Burptarget组件主要包含站点地图、目标域、target工具三部分组成
帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息
burp spider
Burp Spider的功能主要使用于大型的应用系统测试,它能在很短的时间内帮助我们快速地了解系统的结构和分布情况。
spider控制
Spider控制界面由Spider状态和Spider 作用域两个功能组成。
Burp scanner
BurpScanner的功能主要是用来自动检测web系统的各种漏洞,我们可以使用BurpScanner代替我们手工去对系统进行普通漏洞类型的渗透测试,从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。
以上。