Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文主要讲解web接口参数测试。
首先对Burp Suite的各种功能简单做一下说明:
1.Proxy–代理,使用默认端口8080,配置了该代理,我们可以截获并修改web应用程序的数据包.
2.Spider(蜘蛛)–用来抓取Web应用程序的链接和内容等,它会自动提交登陆表单(通过用户自定义输入)的情况下.Spider可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞 。
3.Scanner(扫描器)–用来扫描Web应用程序漏洞,在测试的过程中可能会出现一些误报,需要检查仔细。
4.Intruder(入侵)–用于漏洞,Web应用程序模糊测试,进行暴力猜解等。
5.Repeater(中继器)–通过修改入参,发送多次相同的请求,可以进行参数校验。
6.Sequencer–此功能主要用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试.
7.Decoder(解码)–此功能可用于解码数据找回原来的数据形式,或者进行编码和加密数据.
8.Comparer–此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较.
Web接口参数测试:
1、开启代理功能,google浏览器打开设置->系统,打开计算机的代理设置,打开使用代理服务,输入本地IP与端口号。因为burp suit默认使用8080端口,此处与burp suit的代理配置一致,如图
2、打开Burp Suite工具,进入Proxy–>Intercept,开启Intercept is on。
3、浏览器中随便输入待测试的网址,如图输入百度网址
4、进入Burp Suite,进入Proxy–>HTTP history,可以查看到浏览器的接口连接
5、选中1个接口,右击,选择“Send to Repeater”,接口被发送到Repeater页面。
6、在repeater页面可以看到待测试的接口,通过修改相关参数,点击“go”执行,接口返回结果在右侧区域查看。
482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
