burp(3)burp常见用法以及漏洞测试理论

于 2024-12-09 09:45:38 发布
阅读量381 收藏 3
点赞数 6
分类专栏: BurpSuit 文章标签: web安全 安全 网络安全 系统安全 计算机网络 安全架构 可信计算技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62512865/article/details/144338672
版权

以下笔记学习来自B站泷羽Sec:
B站泷羽Sec

1.proxy模块

1.1 intercept

使用代理拦截数据包
image.png

1.2 HTTP history

查看拦截数据包历史记录
image.png

过滤操作

点击上方的空白处,会弹出一个要过滤的选择框
image.png
进行勾选自己想要的类型,点击Apply
例如这里只要含参数的数据包,只勾选Script和CSS
image.png
最终只剩下了带有参数的数据包
image.png

加色处理

右击选中的数据包,选择Highlight将其添加颜色,方便之后的统计和观察
image.png

1.3 放行和丢弃

将收到的数据包拦截,点击Forward会进行放行,点击Drop会将数据包丢弃
image.png
同时也可以修改数据包中的内容然后发送给服务器,得到想要的结果

2.渲染render

点击响应数据包的render的选项,会将数据包中的回显内容实时显示出来
image.png

Burp入门第三篇】使用BurpSuite拦截请求
等风来
04-06 3822
在浏览器配置好Burp代理之后,在浏览器进行某种操作(如提交表单、访问资源等)时,Burp Proxy 在浏览器发出的 HTTP 请求到达服务器之前将拦截该请求。在这里,我们可以看到通过 Burp 代理的所有 HTTP 流量的历史记录,即使拦截已关闭(但要确保浏览器已配置Burp代理)。由于浏览器通常发送的请求数量众多,我们通常不希望拦截其中的每一个请求,而是可以通过历史请求来观察分析请求包。按钮几次,可以释放发送拦截的请求以及任何后续请求,直到页面加载到浏览器中。选项卡上看到此拦截的请求。
使用burpsuite进行自动化测试XSS漏洞的两种方法
Cwillchris的博客
07-08 1922
一、使用 burpsuite 进行自动化测试 XSS 漏洞我们使用之前搭建的DVWA靶机进行实验进入centos靶机,启动 apache 服务└─# systemctl start apache2进入kali拷贝 payload 字典到 root 目录下,字典可以使用 Kali 中自带的,也可以使用网上找的└─# cp /usr/share/wordlists/wfuzz/Injections/XSS.txt /root在火狐中访问: 192.168.98.66/DVWA-master/vulnerabil
Web安全攻防渗透测试实战指南之Burp工具使用
2401_83739727的博客
04-12 1183
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
Burp suite之拦截响应报文
weixin_46962006的博客
11-13 7684
                       拦截响应报文 工具的准备 Burp suite(自寻网上安装教程) 谷歌或者火狐等浏览器(这里使用谷歌) 设置代理 设置截取 获得响应报文 总结 响应报文被拦截后,可以进行篡改。 响应报文再点击发送,还是会发给浏览器的。 ...
针对非Webapp测试的Burp技巧()拦截和代理监听
Amkio的专栏
02-28 1660
Burp不仅仅可以被用于Web应用程序测试。我常在移动端和胖客户端测试中使用Burp。如果应用使用了HTTP方法,那么Burp绝对会成为你最好的选择。我要记录在工作中对我有很大帮助的Burp技巧。目的之一是与大家一起分享这些技巧,另一个目的是把这些技巧记录下来(类似于菜单中的备忘录)。这部分中,我将讲述通过 Proxy >  Optio...
Burp Suit设置拦截并修改request和response
weixin_54787369的博客
02-28 5934
本文介绍关于Burp Suit中对request和response进行拦截并修改的相关配置 1、Burp Suite下载、安装 2、Burp Suite常用功能使用方法总结 一、拦截修改request 1、进入Proxy–Options–Intercept Client Requests设置request拦截的相关配置 2、关于request拦截修改在“渗透工具–Burp Suite常用功能使用方法总结”中已做相关操作演示说明,故此处不再赘述 下附链接,请自行查阅 渗透工具–Burp Suite常用功能使
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
该插件使用两种主要技术来识别目录遍历漏洞 检测方法 静电检测 动态检测 i) 使用在中指定的预定义有效,这些将在运行时从 GitHub 获取并与匹配 ii) 仍在开发中。 目的是检测与/static/css/main.css/和/static/../...
渗透测试工具burpsuite详细使用教程
02-02
通过Burp Suite,即使不具备高深的渗透技巧,也能通过熟悉其使用方法来简化渗透测试流程。 为了深入理解Burp Suite,我们需要了解它的安装、配置、以及如何利用它提供的各项功能。在使用前,我们首先要进行安装和...
Burp Suite XSS测试实战:深入挖掘Web应用的安全漏洞
08-18
Burp Suite是一款强大的Web应用安全测试工具,它提供了一系列的功能来帮助安全专家和开发者发现和修复Web应用中的安全漏洞,包括跨站脚本(XSS)攻击。XSS攻击允许攻击者将恶意脚本注入到网页中,影响其他用户的...
BurpSuite下载
11-27
文件名中的“使用说明”字样表明了这些文件的用途,其中可能包含了安装指南、配置信息、操作步骤等,帮助用户更好地理解和掌握Burp Suite的使用方法。 此外,"CN_Burp(无CMD窗口).VBS" 和 "EN_Burp(无CMD窗口).VBS...
Burp自定义插件实现请求拦截
A345545108的博客
04-29 987
Burp Suite是一款用于Web应用程序渗透测试的强大工具,它提供了多种功能模块,包括代理、扫描、攻击、爬虫、拦截、重放、编码和扩展等。Burp的扩展插件功能允许用户通过编写自定义的Java或Python代码来扩展Burp的功能,从而实现特定的需求。支持配置需要拦截的域名和路径,用户可通过图形界面进行配置。用户可以随时更新配置,并在更新后收到弹框提醒。提供重置按钮,方便用户清空已配置的域名和路径信息。
burp response绕过后台_使用Burp拦截Flutter App与其后端的通信
weixin_39866419的博客
11-23 666
Flutter是谷歌的移动UI框架,可以快速在iOS和Android上构建高质量的原生用户界面。Flutter应用程序是用Dart编写的,这是一种由Google在7年多前创建的语言。通常情况下我们会通过添加Burp作为拦截代理,来拦截移动应用程序与其后端之间的通信流量(以用于安全评估等)。虽然Flutter应用代理起来可能会有些困难,但这绝对是可能的。TL;DRFlutter使用Dart...
6-Burp Suite拦截手机App数据
m0_62978778的博客
12-31 2855
或者,使用了服务器的证书加密,burp 抓到的是加密以后的消息,是无法查看和修改的。选择保存的 CA 路径(比如 D 盘),文件后缀命名为.cer,非常重要,因为手机只能安装.cer 的证书类型,默认的 der 格式是不能被识别安装的。首先电脑需要连接到 WiFi,不能使用有线网络,这样才能让手机和电脑处于同一网络环境(如果台式机的有线和手机 WiFi是同一个网络环境也可以)。此外,也可以在电脑上安装 Android 模拟器,这样可以直接在电脑上抓模拟器的包,大家可以自己尝试。在手机上“用其他应用打开”。
BurpSuite教程——渗透测试第一关:BP工具使用_渗透测试bp
baimao__Ch的博客
08-22 1551
BurpSuite的核心功能是Proxy——“代理”。代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。Proxy向下又分为四个部分:Intercept、HTTP history、Websockets history、options。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
如何抓包burp
Patrickpapa的博客
11-19 909
如何抓包burp
Burp Suite 实战指南:Proxy 捕获与修改流量、HTTP History 筛选与分析
最新发布
2401_87640455的博客
12-03 1832
Burp Suite 是一款广泛使用的网络安全测试工具,特别在 Web 应用安全领域具有重要地位。它提供了多种功能模块,帮助安全研究人员进行漏洞检测、漏洞验证以及漏洞修复。本文将介绍 Burp Suite 中常用的几个模块及其基本功能,特别是如何利用 Proxy(代理抓包)、HTTP History(HTTP 历史包)、筛选机制等工具提高测试效率。
BurpSuite 功能介绍
qq_49120918的博客
12-02 724
本文主要主要介绍 Proxy、Decoder、Logger、Comparer 四个功能模块。
网络安全实验室第二周学习内容
hpz3292887609的博客
11-03 371
点击Action,选择send to repeater,再点击上方的Repeater,点击send,至右方框的Render正常后,点击Render,抓包成功(render为灰色,返回Rroxy,点击forward,直至render可用)在“已准备好创建虚拟机”界面,选择自定义硬件,左边选择“新CD/DVD”,选择ISO映像文件,该文 件为之前下载好的KALI文件,完成。将弹出的小框中第二栏的内容复制粘贴到之前的第二栏中,则会在其第三栏生成一串条文,最后将这串条文复制粘贴到小框的第二个空格即可。
Burp Suite如何进行web漏洞测试
05-31
Burp Suite是一款功能强大的Web应用程序渗透测试工具,可以用于发现Web应用程序中的各种漏洞。以下是使用Burp Suite进行Web漏洞测试的一般步骤: 1. 配置Burp Suite代理:启动Burp Suite,将浏览器的代理设置为Burp Suite的代理,这样Burp Suite就可以拦截和修改浏览器发送和接收的HTTP请求和响应。 2. 扫描目标网站:使用Burp Suite的扫描功能对目标网站进行扫描,以发现可能存在的漏洞。在扫描之前,可以使用Burp Suite的目标分析工具来收集有关目标网站的信息,例如目录结构、表单、Cookie等。 3. 进行手动测试:使用Burp Suite的代理和重放功能来手动测试目标网站。手动测试可以发现一些自动化扫描工具可能会错过的漏洞,例如业务逻辑漏洞和授权问题。 4. 使用Burp Suite的其他功能:除了代理、扫描和重放功能外,Burp Suite还提供了许多其他功能,例如Intruder、Repeater、Sequencer等。这些功能可以用于深入测试目标网站,并发现更多的漏洞。 5. 生成报告和修复问题:使用Burp Suite的报告功能生成漏洞报告,并将漏洞报告发送给开发人员或管理员。然后,跟踪漏洞修复进度,并验证修复后的漏洞是否得到了修复。 需要注意的是,使用Burp Suite进行Web漏洞测试需要一定的技术水平和经验。在进行测试之前,需要了解Web应用程序的工作原理和安全机制,以及各种常见Web漏洞类型和攻击方法。同时,测试人员也需要遵守法律和道德规范,不得进行未经授权的测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值