本文介绍了BurpSuite,一款基于Java的Web安全审计工具,用于HTTP请求的转发、修改和扫描。内容包括BurpSuite的下载安装、代理设置、数据包修改、爬虫使用、Intruder工具进行参数测试等功能。BurpSuite适用于安全审计和开发人员进行半自动安全测试。
原标题: BurpSuite的简单使用说明
BurpSuite是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以互相协作,在BurpSuite这个框架下进行各种强大的,可订制的攻击/扫描方案。安全人员可以借用它进行半自动的网络安全审计,开发人员也可以使用它的扫描工具进行网站压力测试与攻击测试,以检测Web应用的安全问题。
BurpSuite下载与安装
BurpSuite使用Java语言写成,也就意味着它可以运行于各种平台,当前的最新版本为1.6,每个用户一年的费用为299$
代理设置
和各种浏览器的抓包工具一样,BurpSuite也提供了抓包功能,它的工作方式为在浏览器和网站之间做了代理,先进到Proxy-Options选项卡,编辑代理的地址与端口。——当然你也需要在浏览器上设置代理为此地址。
我们可能只希望针对某个网站进行抓包,在下面的设置中,添加一个规则,只拦截特定的数据包。——通常这不是必须的,毕竟我们很少在分析一个网站时浏览其它网页。
修改数据包
设置好一切后,到Proxy-Intercept选项,打开Intercept,然后博主在贴吧发了个帖子,可以看到一个数据请求已经被拦截下来了,此时我们可以修改数据包的内容,或者直接点击转发,此时重新加工的数据包才会被真正的发往服务器。
使用爬虫
在Targ
最低0.47元/天 解锁文章
1938
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
