BurpSuite
BurpSuite 是一款使用Java編寫的,用於Web安全審計與掃描套件。它集成了諸多實用的小工具以完成http請求的轉發/修改/掃描等,同時這些小工具之間還可以 互相協作,在BurpSuite這個框架下進行各種強大的,可訂制的攻擊/掃描方案。安全人員可以借用它進行半自動的網絡安全審計,開發人員也可以使用它 的掃描工具進行網站壓力測試與攻擊測試,以檢測Web應用的安全問題。
BurpSuite下載與安裝
BurpSuite使用Java語言寫成,也就意味着它可以運行於各種平台,當前的最新版本為1.6,每個用戶一年的費用為299$
代理設置
和各種瀏覽器的抓包工具一樣,BurpSuite也提供了抓包功能,它的工作方式為在瀏覽器和網站之間做了代理,先進到Proxy-Options選項卡,編輯代理的地址與端口。——當然你也需要在瀏覽器上設置代理為此地址。
我們可能只希望針對某個網站進行抓包,在下面的設置中,添加一個規則,只攔截特定的數據包。——通常這不是必須的,畢竟我們很少在分析一個網站時瀏覽其它網頁。
修改數據包
設置好一切后,到Proxy-Intercept選項,打開Intercept,然后博主在貼吧發了個貼子,可以看到一個數據請求已經被攔截下來了,此時我們可以修改數據包的內容,或者直接點擊轉發,此時重新加工的數據包才會被真正的發往服務器。
使用爬蟲
在Target選項卡可以看到所有通過BurpSuite代理的數據包和網站列表,點擊任意一個列表可以選擇使用爬蟲爬下這個網站。
BurpSuite抓取到的網站資源
針對參數的測試
表現出BurpSuite強大的測試工能的就是Intruder工具了,它可以使用預先定義的一個列表來嘗試某幾個參數——在XSS測試與SQL注入測試中尤其有用,有經驗的安全人員通常會有一個常用的測試列表。
設置好一個HTTP請求后,需要被嘗試的關鍵字使用$$符號包含起來,BurpSuite就會認為這是一個要嘗試的變量。
對應的參數嘗試列表需要在Options中設置,也可以從一個文件中導入。這里我們編輯了幾個測試例子。
選擇菜單欄的Intruder Attack就可以開始了,BurpSuite會依次對每個參數嘗試列表中的字段。
此外,BurpSuite還有專門用於發送數據包的Repeater和編碼/解碼的Decoder等等工具,當前有部分是需要購買專業版的。熟練使用它可以高效的進行Web Test。