BurpSuite-安全测试神器

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量6k 收藏 10
点赞数 1
分类专栏: 抓包 文章标签: 安全 web安全 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012343977/article/details/123167279
版权

Burp Suite (简称BP,下同)是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程

主要功能:代理工具(Proxy), 爬虫(Spider),暴力破解(Intruder),漏洞扫描(Scanner付费),重放请求(Repeater),附属工具(decode comparer),扩展定制(Extender)

配置代理

使用谷歌插件直接代理

设置证书可以抓取https的请求

这里,直接输入【cacert.der】 然后选select file存放到桌面,点next这样就导出了证书

安装证书

配合手机抓包

查找本地ip

设置ip

在ios设置安装对应证书

然后下载证书并信任

访问后返回的报文

抓取网页并分析 ,Repeater 可让您手动重新发送单个HTTP 请求

重发 器

修改host点击请求

对应响应状态

Burp Proxy基本使用

打开Proxy功能中的Intercept选项卡,确认拦截功能为“Interception is on”状态,如果显示为“Intercept is off”则点击它,打开拦截功能。数据经过代理后并暂停,需要点击【Forward】,才会继续传输下去。如果你点击了【Drop】,则这次通过的数据将会被丢失,不再继续处理,点击【Forward】之后,我们将看到这次请求返回的所有数据。

实体内容、消息头、请求参数等信息。

pretty模式可以格式化JSON或XML响应,以便更容易查看。没有人想滚动一个最小的单行JSON响应寻找那个难以捉摸的字符串!
Hex 这个视图显示Raw的二进制内容,你可以通过hex编辑器对请求的内容进行修改。

Raw 这是视图主要显示web请求的raw格式,包含请求地址、http协议版本、主机头、浏览器信息、Accept可接受的内容类型、字符集、编码方式、cookie等。你可以通过手工修改这些信息,对服务器端进行渗透测试

数据拦截与控制

Burp Proxy的拦截功能主要由Intercept选项卡中的Forward、Drop、Interception is on/off、Action、Comment 以及Highlight构成,它们的功能分别是: Forward的功能是当你查看过消息或者重新编辑过消息之后,点击此按钮,将发送消息至服务器端。 Drop的功能是你想丢失当前拦截的消息,不再forward到服务器端。 Interception is on表示拦截功能打开,拦截所有通过Burp Proxy的请求数据;Interception is off表示拦截功能关闭,不再拦截通过Burp Proxy的所有请求数据。 Action的功能是除了将当前请求的消息传递到Spider、Scanner、Repeater、Intruder、Sequencer、Decoder、Comparer组件外,还可以做一些请求消息的修改,如改变GET或者POST请求方式、改变请求body的编码,同时也可以改变请求消息的拦截设置,如不再拦截此主机的消息、不再拦截此IP地址的消息、不再拦截此种文件类型的消息、不再拦截此目录的消息,也可以指定针对此消息拦截它的服务器端返回消息

comment能是指对拦截的消息添加备注,在一次渗透测试中,你通常会遇到一连串的请求消息,为了便于区分,在某个关键的请求消息上,你可以添加备注信息。Highlight的功能与Comment功能有点类似,即对当前拦截的消息设置高亮,以便于其他的请求消息相区分。

选项配置Options

客户端请求消息拦截

包含拦截规则配置、错误消息自动修复、自动更新Content-Length消息头三个部分。

  1. 如果intercept request based on the follow rules的checkbox被选中,则拦截所有符合勾选按钮下方列表中的请求规则的消息都将被拦截,拦截时,对规则的过滤是自上而下进行的。当然,我们可以根据自己的需求,通过【Up】和【Down】按钮,调节规则所在位置和排序。同时,我们可以点击【Add】添加一条规则,也可以选中一条规则,通过点击【Edit】进行编辑、点击【Remove】进行删除。当我们点击【Add】按钮时,会弹出规则添加的输入对话框,如下图:

  • Boolean opertor表示当前的规则与其他规则是与的方式(And)还是或的方式(Or)共存;
  • Match type表示匹配类型,此处匹配类型可以基于域名、IP地址、协议、请求方法、URL、文件类型、参数, cookies, 头部或者内容, 状态码, MIME类型, HTML页面的title等。
  • Match relationship表示此条规则是匹配还是不匹配
  • Match condition输入的关键字。当我们输入这些信息,点击【OK】按钮,则规则即被保存。

Automatically fix missing的checkbox被选中,则表示在一次消息传输中,Burp Suite会自动修复丢失或多余的新行。例如,一条被修改过的请求消息,如果丢失了头部结束的空行,Burp Suite会自动添加上;如果一次请求的消息体中,URl编码参数中包含任何新的换行,Burp Suite将会移除。此项功能在手工修改请求消息时,为了防止错误,有很好的保护效果

Automatically update Content-Length的checkbox被选中,则当请求的消息被修改后,Content-Length消息头部也会自动被修改,替换为与之相对应的值。

乌云苍狗
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BP神经网络测试
11-15
BP神经网络测试
让Git的输出更友好: 多种颜色和自定义log格式
Shan_mei的专栏
12-12 8431
git多颜色输出 git默认的输出是单一颜色的,不仅不够美观,也不容易阅读。实际上,git本身就支持用多种颜色来显示其输出的信息,只需在命令行中运行以下命令来修改git的设置,即可开启多颜色输出: git config --global color.status auto git config --global color.diff auto git config --global c
【工具使用】BurpSuite抓包工具使用详解
做自己喜欢的事,并将其发挥到极致!
03-18 1361
Burpsuite是一个用于测试Web应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版减少了许多功能。它是为网络应用程序安全检查提供全面解决方案而开发的。
WEB安全知识学习 - day01 --Burp Suite工具的使用
weixin_40185596的博客
10-20 2500
Burp Suite是一个集合了多种渗透测试组件的渗透工具,使我们自动化地或手工地能更好的 完成对web应用的渗透测试和攻击。Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据、服务器端的返回信息等。 启动BurpSuite后,默认拦截的是本地的8080端口. 同时,需要在浏览器中 ...
Postman第五篇:Response 深入
weixin_44990801的博客
10-15 192
Response数据显示模式 Postman 对于返回的 Response 数据,支持三种显示模式。 默认格式化后的 Pretty 模式 Raw 原始模式 点击Raw,可以查看到返回的没有格式化之前的原始数据: Preview 预览模式 以及 Preview,是对应 Raw 原始格式的预览模式: Preview 这种模式的显示效果,好像是对于返回的是 html 页面这类,才比较有效果。 Response的Cookies 很多时候普通的 API 调用,倒是没有 Coo...
渗透测试基础知识汇总-工具篇
AmyBaby00的博客
02-28 1429
工具类: BP、御剑,AWVS、Sqlmap、Nmap 1、BP 模块认识 2、御剑 御剑是利用目录字典进行扫描的网站后台扫描工具,字典越多,扫描到的结果也越多。 1,打开御剑扫描工具,目录扫描 2,添加目标url 3,字典编辑 4,点击开始,待扫描结束,查看扫描结果 3、AWVS Awvs是网络漏洞扫描工具,是通过网络爬虫测试你的网站安全,检测流行安全漏洞。 1,打开awvs (Google...
postman接口测试工具的使用之快速入门
02-23 3039
Postman是一款非常流行的支持HTTP/HTTPS协议的接口调试与测试工具,其功能非常强大,易用。
postman cookie设置_【接口测试】Postman入门08 Postman的Response
weixin_39949386的博客
12-06 235
来源:https://www.getpostman.com/docs/postman/sending_api_requests/responses翻译:凯凯老师在上一篇中,我们讲解和说明了Postmaan中创建Request的方法和Request的一些基本知识,在本文中,将会介绍另一个重点知——Response。Postman响应查看器有助于确保API响应的正确性。API响应由主体、头和状态代码组...
【网络安全】渗透测试工具——Burp Suite
九芒星的博客
07-13 7787
文章较长,看之前建议先了解以下四个问题问题一、Burp Suite是什么?Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加快捷高效问题二、Burp Suite具象化功能体现在哪?(部分示例)1.攻击网站,获取用户登录名和密码2.攻击网站,获取密码和token在获取CSRF token的情况下攻击网站,拿到正确的用户名和登录密码。
postman响应使用篇(三)
weixin_34336292的博客
11-14 2909
Responses 确保API响应正确是在使用API时要做的事情.一个API响应包含响应体body,响应头headers,状态码status codepostman组织响应体和响应头在不同的tab.状态码,调用API响应的时间,响应的大小在旁边的tab显示,你可以把鼠标放上去显示描述的详细的信息 Saving responses 保存响应...
第二次学习任务
m0_73977108的博客
11-08 901
第二次学习任务
pretty-hex-常见样式的字节切片的漂亮十六进制转储-Rust开发
05-27
pretty-hex一个Rust库,提供了漂亮的十六进制转储。 simple_ *方式呈现单行十六进制转储,而pretty_ *方式渲染列的多行十六进制转储pretty-hex Rust库提供了漂亮的十六进制转储。 simple_ *方式呈现单行十六进制转储,而pretty_ *方式渲染具有多地址和ASCII表示形式的列式多行十六进制转储。 在docs.rs上查看pretty-hex文档。 simple_hex的示例使用pretty_hex :: *; 令v = vec![222,173,190,239,202,254,32,24]; assert_eq!(simple_hex(&v),format!(“ {}”,v.hex_dump())); println!(“ {}”,v.hex_dump()); 输出:de ca ef ca fe 20 18 pretty_hex的示例使用pretty_hex :: *;。
BurpSuite_v2.1.zip
04-23
2021年抓包神器burp suite的最新版本。要先安装java才能启动,运行burp-loader-keygen-2.jar启动英文版,运行link.bat启动汉化版。Burp Suite Pro 1.7.31 Loader & keygen可以用于启动Burp Suite Professional v2.1...
Burpsuite渗透测试神器,来一份吧
08-10
网络安全从业人员
渗透测试神器BurpSuite pro v2.0.11beta & keygen & 汉化
01-15
Burp Suite 能高效率地与单个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过确定的范围来指导单个程序工作。在一个工具处理HTTP 请求和响应时,它可以选择调用其他任意的Burp工具...
web神器BurpSuite
03-12
web安全领域最受欢迎的工具之一,功能强大,此为1.7.26版本。亲测Java8环境可以正常运行,Java10会出问题。解压密码xx123,欢迎下载
BurpSuite使用说明
05-06
BurpSuite是一款信息安全从业人员必备的集成型的渗透测试神器,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPSweb...
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 371
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 427
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
burpsuite进行安全测试
08-24
BurpSuite是一款用于进行安全性渗透测试的工具,它可以拦截请求、进行Burp Spider爬虫、进行漏洞扫描等多种功能。你可以将其理解为Fiddler、Postman等多种工具的综合体。 使用BurpSuite可以进行各种漏洞类型的渗透测试,并提供自动化的方式,从而使我们能够将更多精力放在需要人工验证的漏洞上。它的漏洞扫描功能可以结合目标和仪表盘两个功能模块进行。 BurpSuite有两个版本,专业版和免费版。对于一些简单的web安全测试,如涉及的插件并不多,可以直接安装免费版。你可以在***上搜索并获取BurpSuite的免费版工具进行安装。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [软件安全测试-BurpSuite使用详解](https://blog.csdn.net/weixin_42727710/article/details/128272905)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Burpsuite安全测试测试指导](https://blog.csdn.net/xqtesting/article/details/89342637)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值