大家好啊,我是大田。
今天分享一下 Burpsuite 在工作中常用操作,本文先说说其中两个操作。
一、了解一下 Burpsuite 做什么
1、Burpsuite 是一个黑客工具、安全测试工具、半自动化抓包、篡改信息。
2、他能做:代理工具 Proxy 、爬虫 Spider、暴力破解 Intruder、漏洞扫描 Scanner、重放请求 Repeater、附属工具 decode comparer、扩展定制 Extender。
3、测试人员最常用的功能就是:
假如要攻击服务器端,此时我们要篡改请求;
假如要攻击客户端,此时我们要篡改响应。
二、Burpsuite 运行需要的环境
1、JDK 配置安装、版本选择
方式1:Burpsuite 1.7.* —— java 8(本文用这个版本)
方式2:Burpsuite 2021 —— java 11
2、专业版本需要注册机,社区版本不需要
三、本文中 2 个常用操作
1、创建快捷启动方式
打开注册机
![](https://img-blog.csdnimg.cn/img_convert/afe755347bd8456190ed224508742280.png)
复制这段命令,写在记事本中,修改为 .bat 后缀名的批处理文件 runburpsuite.bat
为了不出现 DOS 黑窗口,创建一个以 vbs 后缀的文件 startburp.vbs,文件内容如下
Set ws = CreateObject("Wscript.Shell")
ws.run "这里填写 runburpsuite.bat 的绝对路径".vbhide
![](https://img-blog.csdnimg.cn/img_convert/8525f7e675ee4b8c9a58f23387366372.png)
鼠标右键将 startburp.vbs 发送桌面快捷方式,可以在桌面直接启动。
2、Burpsuite 爬行
1)新建爬行,编辑详情 scan details
![](https://img-blog.csdnimg.cn/img_convert/17fdcd81357d49328e25ae5084feb4f0.png)
![](https://img-blog.csdnimg.cn/img_convert/3e3974bac2e34bdf8a8414e33b46bed1.png)
2)爬行配置 scan configuration
这里一般是不需要做的
![](https://img-blog.csdnimg.cn/img_convert/5a06577f0fd9422f800589d6015498b4.png)
但是可以配置 user-agent
![](https://img-blog.csdnimg.cn/img_convert/aeadda17ae8d45dd81d24c51248c2ffd.png)
配置 user-agent 具体步骤如下:
f12,访问百度后,找出标头中的 user-agent 字段值
![](https://img-blog.csdnimg.cn/img_convert/72d36ef4c7284eb0b8d6be984decc5f1.png)
设置中配置,按下图指示做即可
![](https://img-blog.csdnimg.cn/img_convert/9f1d7999aaff406ebc0b6eff37ab70d1.png)
3)应用登录 Application login
爬行中可以不设置这里的,了解一下就行。假如被测系统需要验证码,那么可以忽略这个功能。
![](https://img-blog.csdnimg.cn/img_convert/c54fc323daf847388e5e2ff3a5dbfb5c.png)
4)资源池
一般不在上图的 Resource 中设置,因为new scan 右边有个小齿轮设置里会有默认的配置,如下图
![](https://img-blog.csdnimg.cn/img_convert/14df5316ac2e4cc7bf979142cb581c9c.png)
点击设置新增后,发现这里有默认的资源池设置,我一般不做修改
![](https://img-blog.csdnimg.cn/img_convert/5d970fda50a54d448814afc1b9068442.png)
5)保存 new scan 运行本次测试
new scan 里面配置好了之后,点击保存,burpsuite 就会运行了,如图所示。
![](https://img-blog.csdnimg.cn/img_convert/a758eda5893247a7b1027bafda86d0bf.png)
例子 1:爬行演示
![](https://img-blog.csdnimg.cn/img_convert/3f8069e2086748a79ad6da91175c8fbe.png)
例子 2:爬行 + 审计演示,出现问题点圆框,右侧框是问题事件,展示这个任务下有多少问题点,问题会暴露出来。
![](https://img-blog.csdnimg.cn/img_convert/f0adf09f6ad142f9ac70e927eb1f3906.png)
![](https://img-blog.csdnimg.cn/img_convert/2a391f7abe7749558e816754f2ef4a3e.png)
出现 high medium这两类的问题点时,此时应该提 bug 了
面板中,我一般会将 high、medium、certain、firm 类的问题展示出来,如下图圈出来的
![](https://img-blog.csdnimg.cn/img_convert/158df928dcf74b0b8203bed1cb25dace.png)
6)导出本次测试结果
下图可以选中某个任务(如任务 5)后,可以多选,右键导出本次运行结果,选择 html 的报告类型即可,一路 next,最后要选择要保存到的地址就 ok 了。
![](https://img-blog.csdnimg.cn/img_convert/49d07a901c0b4bdb95fae9507a738c95.png)
除了导出结果还可以右键选择一个问题高亮,提醒自己要和开发沟通处理的。
下面就是导出的报告
![](https://img-blog.csdnimg.cn/img_convert/db3227d9fd5f4d068b8c6de27115a965.png)
全文完,如果喜欢,就点个赞或者在看吧 ,转发、评论是对大田创作的最大支持~
![](https://img-blog.csdnimg.cn/img_convert/a86454b8178548859d21c34ae50ba112.png)
我是大田,持续聚焦分享软件测试真实工作经验、职场经验、面试经验