一、工具下载和安装
1.官网下载jdk链接:https://www.oracle.com/
根据各自系统选择下载安装对应的jdk。下载完成后直接安装。
3.
- 完成Java环境安装后,下载Burp_Suite_Pro_v1.7.37软件并破解工具
-
下载链接: https://pan.baidu.com/s/10vbxPeWqi21uaZjnHDXymw
- 下载完成后直接双击burp-loader-keygen.jar
复制上图License里面的key,点击run,粘贴key,如下:
- 点击【next】
- 点击【Manual activation】
- 复制上图中的ruquest,直接点击【copy request】,回到刚刚的jar工具中,将复制的request粘贴到Activation Request,粘贴后立即得到Activation Response,复制response,回到brup suite界面。
- 粘贴response,如下:
- 点击【next】,点击【finish】
备注:下次使用就直接打开burp-loader-keygen.jar,然后点击【run】就可以了。
二、设置代理
在Firefox中设置代理(和Burpsuite中保持一致)
步骤 访问127.0.0.1:8080,
下载证书; 在浏览器设置中导入证书;
勾选信任项。
注意:抓取HTTPS必须要证书!
避免中文乱码
打开Burp suite ,确认Proxy –intercept中拦截开关是“Intercept is on”的状态; 在代理浏览器中输入地址访问,输入登录用户、密码,点击【登录】,拦截到登录的请求; 点击【Forward】发包,浏览器成功登录系统。
扫描结果根据严重程度分为High、Medium、low和Information,根据置信度分为Certain、Firm、Tentative; 在Advisory中可以查看问题的细节、背景、修改方法等; 验证问题最快的方法是进行回放;对于GET请求,可以复制URL,粘贴到浏览器,重新发出请求进行验证。