安装burp证书
一、证书下载
方法1、
启动burp 选择Proxy-import/export CA certificate导出证书
方法2
访问127.0.0.1:8080下载证书
端口为此处端口
二、安装证书
运行下载好的证书,点击安装证书-存储位置任选-
选择将所有的证书都放入下列存储,点击浏览-选择受信任的根证书颁发机构。下一步点击完成
安装证书为了能够识别https
Burp功能初识
target(目标)–显示目标目录结构的一个功能
proxy(代理)–拦截http/https的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截、查看、修改在两个方向上的原始数据
Scanner(扫描器)–高级工具,执行后,他能自动发现web应用程序的安全漏洞
Intruder(攻击器–一个定制的高度可配置的工具,对web应用程序进行自动化攻击。如:枚举标识符,收集有用的数据,以及使用fuzzing技术探测常规漏洞。
Options(设置)–对Burp Suite的一些设置。
Repeater(重放器)–一个靠手动操作来触发单独HTTP请求,并分析应用程序响应的工具
Sequencer(会话)—用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。
Decoder(编码工具)—手动执行或对应用程序数据者智能解码编码的工具
Comparer(对比工具)—通常是通过一些相关的请求和相应得到两项数据的一个可视化的差异
Extender(插件扩展)—可以让你加载Burp Suite的扩展,使用你自己或第三方代码来扩展Burp Suit的功能
代理使用Proxy
浏览器设置
安装插件Proxy SwitchyOmega(有好多,根据个人爱好使用)
在扩展应用程序里搜索需要的应用程序,获取安装
在下载的插件中添加burp的代理,端口和burp 设置一致
浏览器选择新建的代理
burp设置
位置
开启监听
此时在浏览器上访问网站,访问网站的数据包都会被burp拦截
Froward转发拦截的数据包
Drop丢弃拦截的数据包