最近可能需要测试安全,虽然不归我管,用的工具也不是这个,叫zap,感觉使用方法和功能都差不多,打算趁这个机会,再把burp suite学习一遍,然后两个工具对比一下。现在先记录一下学习的内容。之前安装破解的写过了,今天继续。
首先和使用抓包工具差不多,这个也需要浏览器设置代理,先打开工具,查看proxy-option
应该默认有一条吧,端口号8080,我这电脑用8080有点问题,改成了8880。编辑里面选择第二个,就能用在所有能抓包的应用了,包括手机。第一个只能抓本地web的。根据这里,给浏览器设置代理。
然后还有抓https时的那个问题,需要安装证书,浏览器设置好代理,网址输入:http://burp/或者http://电脑ip:端口号(和手机抓包下载证书一样的地址),下载证书,再导入证书(具体步骤不写了)。
一定要设置好代理以后才能打开这个下载证书页面。
下载的直接导入好像不好使,还得导出,找到PortSwigger就是导入的那个。
导出以后和下载的后缀名不太一样,然后再把导出的再导入一遍就行了。
手机证书也差不多吧,现在搞得有点乱,不知道怎么弄好的。手机只能安装.cer的证书。
Intercept里面还有这个,默认是on,拦截了请求,先点一下,关闭,off状态是关闭,这时候电脑、手机可以正常访问网站。
这个先写到这,能凑合用了,以后再有新发现,再回来修改。