Burpsuit工具简介
上图是Burpsuit主界面。
Burpsuit是用于攻击web应用程序的集成平台,包含了许多工具。
-
Proxy(代理)--Burp Suit的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
-
Spider(爬虫)–BurpSuit的蜘蛛功能是用来抓去web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)。Burp Suit的蜘蛛可以爬行扫描网站上所有的链接,通过对这些链接的详细扫描来发现web应用程序的漏洞
-
Scanner(扫描器)–它是用来扫描web应用程序漏洞的,在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确。
-
Intruder(入侵)--此功能可用于多种用途,如利用漏洞,web应用程序模糊测试,进行暴力破解等。
-
Repeater(中继器)–此功能用于根据不同情况修改和发送相同的请求次数并分析。
-
Sequencer–此功能主要用来检查Web应用程序提供的会话令牌的随机性,并执行各种测试。
-
Decoder(解码器)–此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据。
-
Comparer(比较器)–此功能用来执行任意的两个请求,相应或者任意其他形式的比较