软件安全测试之系统安全测试(一)
你好! 欢迎学习 系统安全测试知识 。如果你想学习如何进行系统安全测试, 可以仔细阅读我的文章,了解一下系统安全测试。
系统安全测试工具介绍–Burp suite
1.工具下载地址:https://down.52pojie.cn/Tools/Network_Analyzer/Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip。安装burp会用到jdk,所以必须先配置好jdk , 此处不赘述。解压完成后右击burp-loader-keygen.jar,以Java™ Platform SE binary的方式打开keygen
-
修改License Text为任意值也可以不修改
-
点击run启动burpsuite
4、如果上述方式没有成功启动burpsuite,打开cmd,进入burp-loader-keygen.jar所在目录,执行命令:java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.37.jar
5、弹出burp suite安装对话框里,选择accept,点击next
6、copy keygen窗口的License字符串粘贴到安装对话框里,点击Next
7、点击copy request,粘贴到keygen窗口的activation request,自动生成activation response,然后复制response文本
8、burp suite安装对话框里,点击paste response,就自动激活了,然后一路next开始玩转burp suite吧
(由于我已经激活了,所以以上步骤可查询一些其他相关文档,以下是打开之后的界面)
13、激活之后,不能通过双击BurpSuite主程序来启动,否则启动之后还是需要输入key,两个文件必须放在一个目录下,启动方式有两种:
通过 keygen 上的 run 按钮来启动(重复步骤3)
在文件目录下执行java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v1.7.31.jar来启动.为了方便,可以将命令保存为一个bat
Burpsuite神奇常用功能使用方法总结
Burpsuite介绍:
一款可以进行再WEB应用程序的集成攻击测试平台。(抓https要在浏览器中导入证书)
1、学习Proxy
首先看标红,intercept is off 为非拦截状态 其对应的intercept is on 为拦截状态,设置完代理后打开拦截状态,浏览器发起的请求会被burpsuite所拦截。
forward: 进行请求后被拦截,点击forward可以继续此次请求,如果你点击drop则丢弃此请求数据。继续请求后能够看到返回结果
可以在消息分析选项卡查看这次请求的所有内容
1)Raw 这个视图主要显示web请求的raw格式,包含请求地址, http协议版本, 主机头, 浏览器信息,accept可接受的内容类型,字符集,编码方式,cookies等, 可以手动修改这些内容,然后在点击forward进行渗透测试
2) params 这个视图主要是显示客户端请求的参数信息,get或者post的参数,cookies参数,也可以修改
3)headers是头部信息和Raw其实差不多,展示更直观
4)Hex 这个视图显示Raw的二进制内容
(未完待续)