burp简介
Burp Suite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。
Burp所需环境
Burp Suite是Java编写的,所以在使用前需要安装Jdk环境,这里不进行具体讲解如何安装jdk,安装完成后将jdk相关目录添加到环境变量中。
主要功能
首先,我们看下burp都有哪些功能,并且都是用来做什么的。
proxy – Burp Suite设置代理,抓取数据包。
Spider – Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等。
Scanner – 是用来扫描Web应用程序漏洞的,可以发现常见的web安全漏洞,但会存在误报的可能。
Intruder – 可进行Web应用程序模糊测试,进行暴力猜解等。
Repeater – 对数据包进行重放,可分析服务器返回情况,判断修改参数的影响。
Sequencer – 用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试。
Decoder – 对数据进行加解密操作,包含url、html、base64等等。
Comparer – 此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较。
extender - 加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suite的功能。
options - 设置burp,字体,编码等等
alerts - 是用来存放报错信息的,用来解决错误
功能介绍
本次我们主要学习如何使用burp抓取数据包的proxy功能。
首先,打开burp,并进入到proxy功能,可以看到options
、Histroy
、intercept
、websockets history
标签。
Intercept模块
Intercept - 控制抓取到的数据包,并可将数据包放行或舍弃,以及发送到其他功能中。
Intercept相关功能
Forward - 将抓取或修改后的数据包发送到服务器端
Drop - 丢弃抓取到的数据包,不与服务器端进行交互该数据包
Interceptionis on/off - 是否拦截数据包,on表示拦截,off表示放行
<